JP5880195B2 - Information processing system, information processing method, information processing apparatus, control method thereof, and control program - Google Patents
Information processing system, information processing method, information processing apparatus, control method thereof, and control program Download PDFInfo
- Publication number
- JP5880195B2 JP5880195B2 JP2012068501A JP2012068501A JP5880195B2 JP 5880195 B2 JP5880195 B2 JP 5880195B2 JP 2012068501 A JP2012068501 A JP 2012068501A JP 2012068501 A JP2012068501 A JP 2012068501A JP 5880195 B2 JP5880195 B2 JP 5880195B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- communication
- attack
- processing apparatus
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、通信処理における攻撃や感染拡大を防御する技術に関する。 The present invention relates to a technique for preventing attacks and spread of infection in communication processing.
上記技術分野において、特許文献1には、加入者端末装置とサービス提供サーバとの通信経路中にクラウドルータを設けて通信規模を縮小し、通信時間を減少する技術が開示されている。そして、サービス提供サーバには、ファイアウォールのサービスを提供するサーバも含まれている。
In the above technical field,
しかしながら、上記文献に記載の技術では、加入者端末装置を攻撃や感染から遮断することができなかった。 However, the technique described in the above document cannot block the subscriber terminal device from attacks and infections.
本発明の目的は、上述の課題を解決する技術を提供することにある。 The objective of this invention is providing the technique which solves the above-mentioned subject.
上記目的を達成するため、本発明に係るシステムは、
第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置とを含む情報処理システムであって、
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする。
In order to achieve the above object, a system according to the present invention provides:
The first information processing apparatus is connected to the first information processing apparatus via a network and has substantially the same or higher defense capability against an attack than the first information processing apparatus. An information processing system including a second information processing apparatus,
Communication proxy means of the second information processing device acting as a proxy for at least part of the communication connection between the first information processing device and an external network or external device;
Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus;
Equipped with a,
The communication proxy means is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking unit detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy unit is deleted, a new virtual computer is generated, and the communication is performed. communication substitution control means for substituting the communication connection of the first information processing apparatus by proxy means and includes Rukoto.
上記目的を達成するため、本発明に係る方法は、
第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置とを含む情報処理システムにおける情報処理方法であって、
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする。
In order to achieve the above object, the method according to the present invention comprises:
A first information processing apparatus are communicatively connected via a network with respect to the first information processing apparatus to have a substantially equal or higher protective capacity against challenge compared to the first information processing apparatus an information processing method in an information processing system and a second information processing apparatus,
A communication proxy step of the second information processing device that performs at least a part of communication connection between the first information processing device and an external network or an external device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
Only including,
The communication agent step is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking step detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy step is deleted, a new virtual computer is generated, and the communication is performed. the communication proxy control step of substituting the communication connection of the first information processing apparatus by proxy step, characterized by containing Mukoto.
上記目的を達成するため、本発明に係る装置は、
第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置であって、
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする。
In order to achieve the above object, an apparatus according to the present invention provides:
Communicatively coupled via the first information processing device and the network, a second information processing apparatus having a substantially equal or higher protective capacity against challenge compared to the first information processing apparatus,
Communication proxy means for proxying at least a part of communication connection with the external network or the external device by the first information processing device;
Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus;
Equipped with a,
The communication proxy means is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking unit detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy unit is deleted, a new virtual computer is generated, and the communication is performed. communication substitution control means for substituting the communication connection of the first information processing apparatus by proxy means and includes Rukoto.
上記目的を達成するため、本発明に係る方法は、
第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置の制御方法であって、
前記第1の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする。
In order to achieve the above object, the method according to the present invention comprises:
Communicatively coupled via the first information processing device and the network, a control method of the second information processing apparatus having a substantially equal or higher protective capacity against challenge compared to the first information processing apparatus ,
A communication proxy step of acting as a proxy for at least part of the communication connection with the external network or the external device by the first information processing device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
Only including,
The communication agent step is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking step detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy step is deleted, a new virtual computer is generated, and the communication is performed. the communication proxy control step of substituting the communication connection of the first information processing apparatus by proxy step, characterized by containing Mukoto.
上記目的を達成するため、本発明に係るプログラムは、
第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置よりも攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置の制御プログラムであって、
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
をコンピュータに実行させ、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする第2情報処理装置の制御プログラム。
In order to achieve the above object, a program according to the present invention provides:
A control program for a second information processing apparatus that is communicably connected to the first information processing apparatus via a network and has substantially the same or higher defense capability against attack than the first information processing apparatus,
A communication proxy step of performing at least a part of communication connection with the external network or the external device by the first information processing device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
To the computer ,
The communication agent step is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking step detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy step is deleted, a new virtual computer is generated, and the communication is performed. A control program for a second information processing apparatus , comprising: a communication proxy control step for proxying communication connection of the first information processing apparatus by a proxy step .
上記目的を達成するため、本発明に係る装置は、
上記第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置であって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼手段と、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信手段と、
を備えることを特徴とする。
In order to achieve the above object, an apparatus according to the present invention provides:
The communicatively connected via a second information processing device and the network, a first information processing apparatus having a substantially equal or lower protective capacity against challenge compared to the second information processing apparatus,
A communication proxy request means for requesting to intercept at least a portion of the communication connection with the external network or an external device by the communication proxy unit the second information processing apparatus is the first information processing apparatus,
Communication data attacked by the attack blocking means is blocked by the second information processing apparatus, receiving means for receiving,
It is characterized by providing.
上記目的を達成するため、本発明に係る方法は、
上記第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置の制御方法であって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
を含むことを特徴とす。
In order to achieve the above object, the method according to the present invention comprises:
A control method for a first information processing apparatus that is communicably connected to the second information processing apparatus via a network and has substantially the same or lower defense capability against an attack than the second information processing apparatus. And
A communication proxy request step for requesting to intercept at least a portion of the communication connection with the external network or an external device by the communication proxy unit the second information processing apparatus is the first information processing apparatus,
Communication data attacked by the attack blocking means is blocked with said second information processing apparatus, a receiving step of receiving,
It is characterized by including.
上記目的を達成するため、本発明に係るプログラムは、
上記第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置の制御プログラムであって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
をコンピュータに実行させることを特徴とする。
In order to achieve the above object, a program according to the present invention provides:
A control program for a first information processing apparatus that is communicably connected to the second information processing apparatus via a network and has substantially the same or lower defense capability against an attack than the second information processing apparatus. And
A communication proxy request step for requesting to intercept at least a portion of the communication connection with the external network or an external device by the communication proxy unit the second information processing apparatus is the first information processing apparatus,
Communication data attacked by the attack blocking means is blocked with said second information processing apparatus, a receiving step of receiving,
Is executed by a computer.
本発明によれば、第1情報処理装置よりも攻撃に対して高い防御能力を有する第2情報処理装置により通信代行することにより、第1情報処理装置を攻撃から遮断できる。 ADVANTAGE OF THE INVENTION According to this invention, a 1st information processing apparatus can be interrupted | blocked from an attack by proxying communication by the 2nd information processing apparatus which has a higher defense capability with respect to an attack than a 1st information processing apparatus.
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。 Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the drawings. However, the constituent elements described in the following embodiments are merely examples, and are not intended to limit the technical scope of the present invention only to them.
なお、本明細書で使用する文言「防御力」「防御能力」とは、インターネットに接続した環境で、さまざまなWEBサイトやメールなどのインターネット全般における"最新の脅威"からパソコンを防御する能力を試す。その防御プログラムには、種々の製品が市販されている。それらの防御能力が高いか低いかを調べるテストとしても、種々のテストがある。例えば、AV-comparatives テストが有名である(http://www.av-test.org、http://www.av-comparatives.org)。AV−TEST.orgの認定以外に、CHECKMARK認定(West Coast Lab社)、ICSA labs認定(Cybertrust)、VIRUS BULLETIN 100%受賞歴などがプログラムの防御能力を示す。これらのテストでは、ウィルス検出率/非検出率や、スキャンエンジン単体の防御能力を表わす既知・未知マルウェア検出率を用いる。また、セキュリティソフト全体が有する防御能力を調べるマルウェアブロックテストなどもある。これらを総合して、「防御力」「防御能力」が高いか低いかを判定できる。
Note that the terms “defense” and “defense” used in this specification refer to the ability to protect a PC from the “latest threats” on the Internet, such as various web sites and emails, in an environment connected to the Internet. try. Various products are commercially available for the defense program. There are various tests for examining whether their defensive ability is high or low. For example, the AV-comparatives test is famous (http://www.av-test.org, http://www.av-comparatives.org). In addition to AV-TEST.org accreditation, CHECKMARK accreditation (West Coast Lab), ICSA labs accreditation (Cybertrust),
また、本実施形態においては、「クライアント装置」と「クライアント」とは異なる対象を示しており、「クライアント」との文言は、「クライアント装置」を所有するユーザ、あるいは「クライアント装置」を使用するユーザを表わす。 In the present embodiment, “client device” and “client” are different targets, and the term “client” uses a user who owns “client device” or “client device”. Represents a user.
[第1実施形態]
本発明の第1実施形態としての情報処理システム100について、図1を用いて説明する。情報処理システム100は、ネットワーク103を介して通信接続された第1情報処理装置101と第2情報処理装置102とを含む。また、第2情報処理装置102は第1情報処理装置101と比較して攻撃に対して実質的に同等またはより高い防御能力を有する。
[First Embodiment]
An
図1に示すように、情報処理システム100は、通信代行部110と、攻撃遮断手段と、通信代行部110と、攻撃遮断部120と、を含む。通信代行部110は、第1情報処理装置101と外部ネットワーク104あるいは外部装置105との通信接続の少なくとも一部を代行する。攻撃遮断部120は、第1情報処理装置101と外部ネットワーク104あるいは外部装置105との通信代行部110による通信接続に含まれる攻撃を遮断する。
As illustrated in FIG. 1, the
本実施形態によれば、第1情報処理装置と比較して攻撃に対してより高い防御能力を有する第2情報処理装置により通信代行することにより、第1情報処理装置を攻撃から遮断できる。 According to the present embodiment, the first information processing apparatus can be blocked from the attack by proxying the communication with the second information processing apparatus having a higher defense capability against the attack than the first information processing apparatus.
[第2実施形態]
次に、本発明の第2実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、第1情報処理装置であるクライアント装置の通信処理を、第2情報処理装置であるクラウドサーバが代行する。なお、クライアント装置としては、携帯電話やスマートフォン、タブレットなどの携帯端末、業務用端末、ノート型パーソナルコンピュータ(以下、PC)、デジタルテレビ、ディスプレイターミナル、デスクトップ型PCなどが含まれる。また、明細書および図面における"端末"との文言もクライアント装置と同義である。
[Second Embodiment]
Next, an information processing system according to the second embodiment of the present invention will be described. In the information processing system according to the present embodiment, the cloud server that is the second information processing apparatus performs the communication process of the client apparatus that is the first information processing apparatus. The client device includes a mobile terminal such as a mobile phone, a smartphone, and a tablet, a business terminal, a notebook personal computer (hereinafter referred to as a PC), a digital TV, a display terminal, a desktop PC, and the like. The term “terminal” in the specification and drawings is also synonymous with the client device.
本実施形態によれば、クライアント装置への攻撃をクラウドサーバが排除できると共に、クライアント装置からの感染拡大をクラウドサーバにより防止できる。 According to this embodiment, the cloud server can eliminate attacks on the client device, and the cloud server can prevent the spread of infection from the client device.
《情報処理システム》
図2は、本実施形態に係る情報処理システム200の構成を示すブロック図である。
《Information processing system》
FIG. 2 is a block diagram illustrating a configuration of the
情報処理システム200は、ネットワークを介して接続された、クライアント装置211〜216と、クラウドサーバ220と、サービス提供サーバであるWebサーバ230、SNS(Social Networking Service)サーバ240、コンテンツ提供サーバ250とを備える。
The
クライアント装置211〜216は、携帯端末であるクライアント装置211〜213やノート型PCであるクライアント装置214やデジタルテレビであるクライアント装置215やデスクトップ型PCであるクライアント装置216を含む。クライアント装置211〜216は、自装置の通信処理の代行をより高い防御能力を有するクラウドサーバ220に依頼して、自装置への通信処理に含まれる攻撃を排除し、かつ、自装置からの通信処理による感染拡大を防止する。
The
クラウドサーバ220は、クライアント装置の通信を代行するために必要な、IP(Internet Protocol)アドレス変換テーブル221、通信データキャッシュ部222、攻撃/感染情報DB223を有する。IPアドレス変換テーブル221は、クライアント装置と外部ネットワークや外部装置との通信を分断するために、クライアント装置のIPアドレスを変換するためのテーブルである(図7参照)。通信データキャッシュ部222は、外部ネットワークや外部装置との通信データを一時的に記憶するキャッシュ部である(図8参照)。攻撃/感染情報DB223は、クラウドサーバ220における攻撃の検出と排除、あるいは感染源の検出と感染防止を実行するための情報を格納するデータベースである(図9参照)。
The
Webサーバ230は、クライアント装置にWebサービスを提供するサーバである。SNSサーバ240は、クライアント装置にソーシャルサービスを提供するサーバである。コンテンツ提供サーバ250は、クライアント装置に種々のコンテンツを提供するサーバである。なお、サービス提供サーバは、図2に図示された例に限定されない。
The
《情報処理システムの動作手順》
次に、図3Aおよび図3Bに従って、本実施形態の情報処理システム200の動作手順を説明する。
<< Operation procedure of information processing system >>
Next, an operation procedure of the
(通信代行依頼)
図3Aは、本実施形態に係る情報処理システム200における通信代行依頼の動作手順を示すシーケンス図である。
(Communication agency request)
FIG. 3A is a sequence diagram illustrating an operation procedure of a communication proxy request in the
ステップS301において、クライアント装置211〜216とクラウドサーバ220との間の通信を確立する。クラウドサーバ220から、ステップS303において、通信代行サービスの紹介情報をクライアント装置211〜216に送信する。クライアント装置211〜216は、ステップS305において、受信した通信代行サービスの紹介情報を表示する。クライアントが通信代行サービスの依頼をクライアント装置211〜216から入力すると、ステップS307において、通信代行依頼の情報がクライアント装置からクラウドサーバ220に送信される。
In step S <b> 301, communication between the
クラウドサーバ220は、ステップS309において、受信した通信代行依頼の情報からクライアント装置の端末IPアドレスを取得する。次に、ステップS311において、依頼したクライアント装置に割り当てるローカルIPアドレスを設定する。そして、ステップS313において、端末IPアドレスとローカルIPアドレスとを対応付けてIPアドレス変換テーブルに登録する。ステップS315においては、クラウドサーバ220から依頼したクライアント装置に、ローカルIPアドレスを通知し、クライアント装置に付加する通信代行アプリケーション・プログラム(図16参照)をダウンロードする。
In step S309, the
クライアント装置211〜216は、ステップS317において、受信したローカルIPアドレスを以降の通信において使用する自装置のIPアドレスに設定する。これ以降、クライアント装置が初期に有していた端末IPアドレスはクラウドサーバ220で使用され、クライアント装置では使用されない。したがって、クライアント装置による外部ネットワークや外部装置との直接の通信は、回避される。次に、ステップS319において、ダウンロードされた通信代行アプリケーションを起動する。以下、このクライアント装置は、通信処理をクラウドサーバ220によって代行されることになる。
In step S317, the
通信代行依頼の処理が終了したので、ステップS321において、クライアント装置211〜216とクラウドサーバ220との通信を切断する。
Since the communication proxy request process is completed, the communication between the
(通信代行実行)
図3Bは、本実施形態に係る情報処理システム200における通信代行実行の動作手順を示すシーケンス図である。図3Bでは、サービス提供サーバからの紹介にクライアントが応答することで、サービスリクエストを行なう例を示す。
(Communication proxy execution)
FIG. 3B is a sequence diagram illustrating an operation procedure of communication proxy execution in the
ステップS331において、サービス提供サーバからサービス紹介情報が配信される。クライアント装置の端末IPアドレスに対するアクセスは、ステップS333のように、クラウドサーバ220によってその受信が代行される。ステップS335において、受信したサービス紹介情報のメッセージに含まれる攻撃がチェックされ、攻撃があれば排除される。そして、攻撃を含むメッセージは捨てられるか、攻撃が排除されればステップS337においてクライアント装置に送信される。この特に、使用されるIPアドレスは、図3AのステップS315においてクライアント装置に割り当てられたローカルIPアドレスである。
In step S331, service introduction information is distributed from the service providing server. Access to the terminal IP address of the client device is received by the
ローカルIPアドレスを送信先としてクラウドサーバ220から送信されたサービス紹介情報は、ステップS339において、クライアント装置に表示される。このサービス紹介情報にクライアントが応答すれば、ステップS341において、クライアント装置からクラウドサーバ220にサービスリクエストが送信される。当然ながら、サービスリクエストの送信元はローカルIPアドレスで識別されるクライアント装置である。
The service introduction information transmitted from the
クライアント装置からのサービスリクエストを受信したクラウドサーバ220は、ステップS343において、クライアント装置からのメッセージの感染有無をチェックし、感染があれば排除する。そして、ステップS345において、感染のないサービスリクエストのメッセージが、クラウドサーバ220により端末IPアドレスを送信元として代行送信される。
In step S343, the
サービス提供サーバは、ステップS347において、クラウドサーバ220からの端末IPアドレスを送信元とするサービスリクエストを受けて、ステップS349において、端末IPアドレスを送信先とするサービス情報をクラウドサーバ220に返す。
In step S347, the service providing server receives a service request with the terminal IP address as the transmission source from the
クラウドサーバ220は、ステップS351において、サービス提供サーバからのサービス情報を代行受信する。そして、ステップS353において、サービス情報を含むメッセージの攻撃をチェックし、攻撃があれば排除する。攻撃を含むサービス情報のメッセージは捨てられるか、攻撃が排除されればステップS355において、送信先をローカルIPアドレスとしてクライアント装置に送信される。
In step S351, the
クライアント装置は、ステップS357において、受信したサービスを取得する。ステップS359においては、クライアント装置からサービス提供サーバへのアクセスを終了するか否かを判定する。終了でなければステップS341に戻って、次のサービスリクエストを繰り返す。サービス提供サーバへのアクセスが終了であればステップS361に進んで、クライアント装置からクラウドサーバ220に終了が通知される。クラウドサーバ220は終了通知を受けて、ステップS363において、終了処理を行なう。
In step S357, the client apparatus acquires the received service. In step S359, it is determined whether or not the access from the client device to the service providing server is to be terminated. If not completed, the process returns to step S341 to repeat the next service request. If the access to the service providing server is completed, the process proceeds to step S361, and the client device notifies the
なお、図3Bにおいては、サービス提供サーバからの紹介にクライアントが応答することで、サービスリクエストを行なう例を示したが、紹介なしにクライアントがサービス提供サーバを指定する場合は、ステップS341から入ればよい。 FIG. 3B shows an example in which the client makes a service request by responding to the introduction from the service providing server. However, if the client designates the service providing server without introduction, the process can be entered from step S341. Good.
《通信メッセージ例》
図4は、本実施形態に係る情報処理システム200の通信メッセージの構成を示す図である。なお、図4の通信メッセージの構成は一例であって、これに限定されない。
<Example of communication message>
FIG. 4 is a diagram illustrating a configuration of a communication message of the
図4の上段は、クライアント装置211〜216からクラウドサーバ220を介してサービス提供サーバへの通信メッセージの構成の変換を示す図である。クライアント装置から211〜216からクラウドサーバ220への送信メッセージ410には、送信先にクラウドIPアドレス、送信元にクライアント装置に割り当てられたローカルIPアドレス、転送先にサーバIPアドレスが配置される。そして、クラウドサーバ220からサービス提供サーバへの送信メッセージ420には、送信先にサーバIPアドレス、送信元にクラウドサーバ220が通信代行しているクライアント装置の端末IPアドレスが配置される。この変換は、IPアドレス変換テーブル221を参照して実行する。
The upper part of FIG. 4 is a diagram illustrating conversion of the configuration of the communication message from the
図4の下段は、サービス提供サーバからクラウドサーバ220を介してクライアント装置211〜216への通信メッセージの構成の変換を示す図である。サービス提供サーバからクラウドサーバ220への送信メッセージ430には、送信先にクラウドサーバ220が通信代行しているクライアント装置の端末IPアドレス、送信元にサーバIPアドレスが配置される。そして、クラウドサーバ220からクライアント装置211〜216への送信メッセージ440には、送信先にクライアント装置に割り当てられたローカルIPアドレス、送信元にクラウドIPアドレス、転送元にサーバIPアドレスが配置される。この変換は、IPアドレス変換テーブル221を参照して実行する。
The lower part of FIG. 4 is a diagram illustrating conversion of the communication message configuration from the service providing server to the
なお、図4においては、転送先や転送元をサービス提供サーバとしているが、これが他のクライアント装置であって、通信がメール通信であっても同様である。このように、サービス提供サーバも他のクライアント装置も、通信相手を所望のクライアント装置として通信するが、その通信はクラウドサーバ220で代行されていることになる。
In FIG. 4, the transfer destination and the transfer source are service providing servers. However, this is the same even if this is another client device and the communication is mail communication. As described above, the service providing server and the other client devices communicate with each other as a desired client device, but the communication is performed by the
《クラウドサーバの機能構成》
図5は、本実施形態に係るクラウドサーバ220の機能構成を示すブロック図である。
<Functional configuration of cloud server>
FIG. 5 is a block diagram showing a functional configuration of the
クラウドサーバ220は、ネットワーク260を介してサービス提供サーバやクライアント装置と通信する通信制御部501を有する。通信制御部501において送受信されるメッセージは、攻撃遮断部500により攻撃/感染情報DB223を参照してメッセージに攻撃が含まれてないか、メッセージが感染していないかをチェックされる。そして、攻撃や感染が見つかればメッセージの通過は遮断される。攻撃遮断部500は、攻撃/感染情報DB223と感染防止部502と攻撃排除部509とを含む。なお、感染防止部502と攻撃排除部509とは、機能的に分離して図示するが一体であってよい。
The
通信制御部501においてクライアント装置から受信したメッセージは、感染防止部502において攻撃/感染情報DB223を参照してメッセージが感染していないがチェックされ、感染していれば遮断あるいは排除される。感染防止部502を通過したクライアント装置からの送信メッセージは、端末送信データ受信部503で受信される。端末送信データ受信部503で受信されたメッセージには、クラウドサーバ220に通信代行を依頼するメッセージと、通常の送信メッセージとが含まれる。
The message received from the client device by the
通信代行を依頼するメッセージは、代行通信登録部504によって、IPアドレス変換テーブル221に代行通信依頼したクライアント装置として登録される。そして、代行通信登録部504によってIPアドレス変換テーブル221に登録されたクライアント装置には、ローカルIPアドレス送信部505によって、登録されたクライアント装置とクラウドサーバ220との間の通信に使用されるローカルIPアドレスが割り当てられる。
A message requesting communication proxy is registered by the proxy
一方、通常の送信メッセージは、端末送信データ記憶部506により、受信時刻順にかつクライアント装置に対応付けて、通信データキャッシュ部222に記憶される。そして、通常の送信メッセージは、緊急性やファーストイン・ファーストアウトのルールで、端末送信データ読出部507により通信データキャッシュ部222から読み出され、端末送信データ送信部508によって、端末IPアドレスを送信元としてサービス提供サーバなどに送信される。
On the other hand, the normal transmission message is stored in the communication
通信制御部501においてサービス提供サーバから受信したメッセージは、攻撃排除部509において攻撃/感染情報DB223を参照してメッセージに攻撃が含まれていないがチェックされ、攻撃を含んでいれば遮断あるいは排除される。攻撃排除部509を通過したサービス提供サーバからの送信メッセージは、端末受信データ受信部510で受信される。端末受信データ受信部510で受信されたメッセージには、端末受信データ記憶部511により、受信時刻順にかつサービス提供サーバ/クライアント装置に対応付けて、通信データキャッシュ部222に記憶される。そして、サービス提供サーバからの送信メッセージは、緊急性やファーストイン・ファーストアウトのルールで、端末受信データ読出部512により通信データキャッシュ部222から読み出され、端末受信データ送信部513によって、ローカルIPアドレスを送信先としてクライアント装置に送信される。
The message received from the service providing server in the
《クライアント装置の機能構成》
図6は、本実施形態に係るクライアント装置211〜216の機能構成を示すブロック図である。
<< Functional configuration of client device >>
FIG. 6 is a block diagram illustrating a functional configuration of the
クライアント装置211〜216は、タッチパネルやキーボードなどからなる操作部601と、入出力部608とを有する。入出力部608は、受信したデータを表示する表示部609と、音声を入出力する音声入出力部610とを有する。
The
操作部601から入力されたクライアントの指示の内、通信代行をクラウドサーバ220に依頼する指示の場合は、通信代行依頼部602において通信代行依頼メッセージを生成し、通信制御部603を介してクラウドサーバ220に送信する。この時には、送信元として、クライアント装置は初期に割り当てられた端末IPアドレスが使用される。通信代行依頼メッセージがクラウドサーバ220で受理されると、通信制御部603を介してローカルIPアドレスがクラウドサーバ220から割り当てられる。ローカルIPアドレス取得部604は、このローカルIPアドレスを取得して、ローカルIPアドレス記憶部605に記憶する。これ以降のクライアント装置の通信は、送受信共にこのローカルIPアドレスによりクラウドサーバ220とのみ行なわれる。
In the case of an instruction for requesting the communication proxy to the
クライアント装置からクラウドサーバ220へのメッセージ送信は、端末送信データ送信部606により、ローカルIPアドレスを送信元として通信制御部603を介して行なわれる。一方、クラウドサーバ220からのメッセージ受信は、端末受信データ受信部607により、ローカルIPアドレスを送信先として通信制御部603を介して行なわれ、入出力部608に出力される。
(IPアドレス変換テーブル)
図7は、本実施形態に係るIPアドレス変換テーブル221の構成を示す図である。
Message transmission from the client device to the
(IP address conversion table)
FIG. 7 is a diagram showing a configuration of the IP address conversion table 221 according to the present embodiment.
IPアドレス変換テーブル221は、通信代行を依頼してクラウドサーバ220で受理された場合に、依頼したクライアント装置の初期の端末IPアドレス701に対応付けて、新たにクライアント装置に割り当てたローカルIPアドレス702を記憶する。かかるIPアドレス変換テーブル221により、通信代行をするクライアント装置の登録と、クライアント装置が直接、攻撃を受けないためのIPアドレスの変換が実現される。
The IP address conversion table 221 is a
なお、クライアント装置が、受信メッセージの送信元を判断してクラウドサーバ220から以外は受信しないようにすることで、同様の処理は可能である。しかし、送信元の判断を行なった時点で既に攻撃を受ける場合もあるので、本実施形態のように、IPアドレスを変更するのが望ましい。IPアドレスの変更方法は、本例に限定されない。
Note that the same processing is possible when the client device determines the transmission source of the received message and does not receive anything other than from the
(通信データキャッシュ部)
図8は、本実施形態に係る通信データキャッシュ部222の構成を示す図である。
(Communication data cache)
FIG. 8 is a diagram showing a configuration of the communication
通信データキャッシュ部222は、サービス提供サーバからの受信メッセージを一時保存するサーバメッセージ・キャッシュ部810と、クライアント装置からの受信メッセージを一時保存するクライアント装置メッセージ・キャッシュ部820と、を有する
サーバメッセージ・キャッシュ部810は、サービス提供サーバからのメッセージの受信時刻811に対応付けて、送信先の端末IPアドレス812、送信元のサーバIPアドレス813、受信メッセージ(クライアント装置への送信メッセージ)814、攻撃や感染有無による通信可否フラグ815を記憶する。
The communication
クライアント装置メッセージ・キャッシュ部820は、クライアント装置からのメッセージの受信時刻821に対応付けて、送信元のローカルIPアドレス822、転送先のサーバIPアドレス823、受信メッセージ(サービス提供サーバへの送信メッセージ)824、攻撃や感染有無による通信可否フラグ825を記憶する。
The client device message cache unit 820 associates with the
(攻撃/感染情報DB)
図9は、本実施形態に係る攻撃/感染情報DB223の構成を示す図である。
(Attack / Infection Information DB)
FIG. 9 is a diagram showing a configuration of the attack /
攻撃/感染情報DB223は、アドレス判定情報910と、プロトコル判定情報920と、データ/プログラム判定情報930と、を有する。なお、攻撃/感染情報DB223の構成は本例に限定されない。
The attack /
アドレス判定情報910は、通信を遮断する通信遮断アドレス911に対応付けて、遮断する理由912と対処情報913とを記憶する。アドレス判定情報910により、送信元や送信先のIPアドレス、ポート番号などに基づいて通信データの通過/遮断を決定する。いわゆる、"パケットフィルタリング型"と言われるファイアウォールを実現する。
The
プロトコル判定情報920は、通信プロトコル内の判定対象921に対応付けて、判定条件922と対処情報923とを記憶する。プロトコル判定情報920により、通信の中身に基づいて通信データの通過/遮断を決定する。いわゆる、"アプリケーションゲートウェイ型"と言われるファイアウォールを実現する。例えば、未使用領域にデータが入っていたり、IPヘッダ内の不必要なフラグが立っていたり、値が正常でない、あるいはパケット長が長すぎる、などが対象および条件として含まれる。なお、本実施形態は攻撃/感染検出が主要な特徴ではないので、詳細な説明は省略する。
The
データ/プログラム判定情報930は、メッセージのデータやプログラム内の判定対象931に対応付けて、判定条件932と対処情報933とを記憶する。データ/プログラム判定情報930により、プロトコル判定情報920と同様に、"アプリケーションゲートウェイ型"と言われるファイアウォールを実現する。例えば、データパターンや異常な数値、プログラムのコード配列パターン、などが対象および条件として含まれる。なお、本実施形態は攻撃/感染検出が主要な特徴ではないので、詳細な説明は省略する。
The data /
《クラウドサーバのハードウェア構成》
図10は、本実施形態に係るクラウドサーバ220のハードウェア構成を示すブロック図である。
<< Hardware configuration of cloud server >>
FIG. 10 is a block diagram illustrating a hardware configuration of the
図10で、CPU1010は演算制御用のプロセッサであり、プログラムを実行することで図5のクラウドサーバ220の各機能構成部を実現する。ROM1020は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。また、通信制御部501は通信制御部であり、本実施形態においては、ネットワーク260を介してクライアント装置211〜216やサービス提供サーバと通信する。なお、CPU1010は1つに限定されず、複数のCPUであっても、あるいは画像処理用のGPU(Graphics Processing Unit)を含んでもよい。
In FIG. 10, a
RAM1040は、CPU1010が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM1040には、本実施形態の実現に必要なデータを記憶する領域が確保されている。クライアント装置ID/認証情報1041は、通信中のクライアント装置の識別子とその認証情報である。ローカルIPアドレス1042は、通信代行するクライアント装置に割り当て、クラウドサーバ220との通信に使用するIPアドレスである。端末IPアドレス1143は、通信代行するクライアント装置の初期のIPアドレスであり、通信代行するクラウドサーバ220が外部との通信に使用するIPアドレスである。サーバIPアドレス1044は、クラウドサーバ220が通信代行してアクセスするサービス提供サーバのIPアドレスである。クラウドIPアドレス1045は、本クラウドサーバのIPアドレスである。攻撃排除/感染防止処理前のメッセージ1046は、クライアント装置あるいはサービス提供サーバから受信した未処理のメッセージである。攻撃排除/感染防止処理後のメッセージ1047は、メッセージ1046に対して攻撃排除/感染防止の処理を行なった処理済みのメッセージである。メッセージの通信可否フラグ1048は、処理済みのメッセージ1047が通信可能か否かを示すフラグである。送受信メッセージ1049は、クライアント装置あるいはサービス提供サーバと通信制御部501を介して送受信するメッセージである。
The
ストレージ1050には、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。IPアドレス変換テーブル221は、図7に示したテーブルである。通信データキャッシュ部222は、図8に示したキャッシュ部である。攻撃/感染情報DB223は、図9に示したデータベースである。
The
ストレージ1050には、以下のプログラムが格納される。クラウドサーバ制御プログラム1051は、本クラウドサーバ220の全体を制御するプログラムである。通信代行登録モジュール1052は、クラウドサーバ制御プログラム1051において、クライアントが依頼したクライアント装置の通信の代行を登録するためのモジュールである。端末−サーバ転送モジュール1053は、クラウドサーバ制御プログラム1051において、クライアント装置からのメッセージ送信をクラウドサーバ220が代行するモジュールである(図12A参照)。サーバ−端末転送モジュール1054は、クラウドサーバ制御プログラム1051において、クライアント装置へのメッセージ受信をクラウドサーバ220が代行するモジュールである(図12B参照)。攻撃排除/感染防止モジュール1055は、クラウドサーバ制御プログラム1051において、クライアント装置へのメッセージ受信から攻撃を排除し、クライアント装置からのメッセージ送信に基づく感染を防止するモジュールである。
なお、図10には、本実施形態に必須なデータやプログラムのみが示されており、本実施形態に関連しないデータやプログラムは図示されていない。
The
FIG. 10 shows only data and programs essential to the present embodiment, and does not illustrate data and programs not related to the present embodiment.
《クラウドサーバの処理手順》
図11は、本実施形態に係るクラウドサーバ220の処理手順を示すフローチャートである。このフローチャートは、図10のCPU1010がRAM1040を使用しながら実行し、図5の機能構成部を実現する。
《Cloud server processing procedure》
FIG. 11 is a flowchart illustrating a processing procedure of the
まず、ステップS1111において、クライアント装置からの通信代行依頼による通信代行登録であるか否かを判定する。また、ステップS1121においては、クライアント装置からのメッセージを受信したか否かを判定する。また、ステップS1131においては、サービス提供サーバからのメッセージを受信したか否かを判定する。 First, in step S <b> 1111, it is determined whether or not communication proxy registration is performed by a communication proxy request from a client device. In step S1121, it is determined whether a message from the client device has been received. In step S1131, it is determined whether a message from the service providing server has been received.
通信代行登録であればステップS1113に進んで、通信代行を依頼したクライアント装置に割り当てるローカルIPアドレスを取得する。なお、ローカルIPアドレスはあらかじめクラウドサーバ220が準備しておく。次に、ステップS1115において、IPアドレス変換テーブル221に通信代行を依頼したクライアント装置の端末IPアドレスと、ステップS1113で取得したローカルIPアドレスとを対応付けて登録する。そして、ステップS1117において、ローカルIPアドレスをクライアント装置に送信する。以降、クラウドサーバ220とクライアント装置との間の通信は、ローカルIPアドレスにより実行され、クライアント装置の外部との通信は、端末IPアドレスを送信元とするクラウドサーバ220の通信により代行される。
If it is communication proxy registration, the process advances to step S1113 to acquire a local IP address to be assigned to the client device that has requested communication proxy. The
クライアント装置からのメッセージ受信であればステップS1123に進んで、クライアント装置からの受信メッセージによる感染拡大を防止する処理が実行される。なお、感染が検出されれば、クライアント装置にその旨を報知して、感染が排除できなければ受信メーセージは廃棄される。そして、ステップS1125において、感染防止処理が行なわれたメッセージは、送信元のクライアント装置や転送先のサービス提供サーバに対応付けて通信データキャッシュ部222に記憶される。その後、ステップS1127において、メッセージのサービス提供サーバへの送信が、サーバへのメッセージ送信処理により実行される(図12A参照)。
If the message is received from the client device, the process proceeds to step S1123, and processing for preventing the spread of infection by the received message from the client device is executed. If an infection is detected, the client device is notified of this, and if the infection cannot be eliminated, the received message is discarded. In step S1125, the message on which the infection prevention process has been performed is stored in the communication
サービス提供サーバからのメッセージ受信であればステップS1133に進んで、サービス提供サーバからの受信メッセージによる攻撃を排除する処理が実行される。なお、攻撃が検出されれば、サービス提供サーバにその旨を報知して、攻撃が排除できなければ受信メーセージは廃棄される。そして、ステップS1135において、攻撃排除処理が行なわれたメッセージは、送信元のサービス提供サーバや送信先のクライアント装置に対応付けて通信データキャッシュ部222に記憶される。その後、ステップS1137において、メッセージのクライアント装置への送信が、クライアント装置へのメッセージ送信処理により実行される(図12B参照)。
If the message is received from the service providing server, the process proceeds to step S1133, and processing for eliminating an attack by the received message from the service providing server is executed. If an attack is detected, this is notified to the service providing server, and if the attack cannot be eliminated, the received message is discarded. In step S1135, the message subjected to the attack elimination process is stored in the communication
(サービス提供サーバへのメッセージ送信処理)
図12Aは、本実施形態に係るサービス提供サーバへのメッセージ送信処理S1127の処理手順を示すフローチャートである。
(Message transmission processing to the service provider server)
FIG. 12A is a flowchart illustrating a processing procedure of message transmission processing S1127 to the service providing server according to the present embodiment.
まず、ステップS1211においては、通信データキャッシュ部222に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かが判定される。多くなければステップS1221に進んで、通信データキャッシュ部222に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの総数が、閾値nより多いか否かが判定される。閾値nより多くなければリターンする。一方、閾値nより多ければ図12BのステップS1137の処理を呼び出して実行する。
First, in step S1211, it is determined whether the total number of messages from the client device to the service providing server temporarily held in the communication
ステップS1211の判定において、サービス提供サーバへのクライアント装置からのメッセージの総数が閾値mより多い場合には、ステップS1213に進む。ステップS1213においては、通信データキャッシュ部222に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの内、優先順位の高いメッセージを選択して取得する。なお、優先順位は緊急性などのクライアント装置の設定やクラウドサーバによる判定が含まれるが、ここでは詳説しない。優先度の設定がなければ、ファーストイン・ファーストアウトの法則に基づいて選択する。
If it is determined in step S1211 that the total number of messages from the client device to the service providing server is greater than the threshold value m, the process advances to step S1213. In step S1213, a message having a high priority is selected and acquired from the messages from the client device to the service providing server temporarily held in the communication
ステップS1215においては、クライアント装置からのメッセージの送信元であるローカルIPアドレスを、IPアドレス変換テーブル221を参照してクライアント装置本来の端末IPアドレスに変換する。次に、ステップS1217において、メッセージの送信先を転送先であるサービス提供サーバのサーバIPアドレスに設定する。そして、ステップS1219において、クライアント装置からのメッセージを感染防止処理して、クラウドサーバ220からサービス提供サーバに送信する。
In step S1215, the local IP address that is the source of the message from the client device is converted to the original terminal IP address of the client device with reference to the IP address conversion table 221. In step S1217, the message destination is set to the server IP address of the service providing server that is the transfer destination. In step S1219, the message from the client device is subjected to infection prevention processing and transmitted from the
(クライアント装置へのメッセージ送信処理)
図12Bは、本実施形態に係るクライアント装置211〜216へのメッセージ送信処理S1137の処理手順を示すフローチャートである。
(Message transmission processing to the client device)
FIG. 12B is a flowchart illustrating the processing procedure of the message transmission processing S1137 to the
まず、ステップS1231においては、通信データキャッシュ部222に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの総数が、閾値nより多いか否かが判定される。多くなければステップS1243に進んで、通信データキャッシュ部222に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かが判定される。閾値mより多くなければリターンする。一方、閾値mより多ければ図12AのステップS1127の処理を呼び出して実行する。
First, in step S1231, it is determined whether the total number of messages from the service providing server to the client device temporarily held in the communication
ステップS1231の判定において、クライアント装置へのサービス提供サーバからのメッセージの総数が閾値nより多い場合には、ステップS1233に進む。ステップS1233においては、通信データキャッシュ部222に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの内、優先順位の高いメッセージを選択して取得する。なお、優先順位は緊急性などのサービス提供サーバの設定やクラウドサーバによる判定が含まれるが、ここでは詳説しない。優先度の設定がなければ、ファーストイン・ファーストアウトの法則に基づいて選択する。
If it is determined in step S1231 that the total number of messages from the service providing server to the client device is greater than the threshold value n, the process advances to step S1233. In step S1233, a message having a high priority is selected and acquired from the messages from the service providing server to the client device temporarily held in the communication
ステップS1235においては、サービス提供サーバからのメッセージの送信先である端末IPアドレスを、IPアドレス変換テーブル221を参照してクライアント装置にクラウドサーバ220は割り当てたローカルIPアドレスに変換する。次に、ステップS1237において、メッセージの送信元をクラウドサーバ220のクラウドIPアドレスに設定する。次に、ステップS1239において、メッセージの送信元であるサービス提供サーバのサーバIPアドレスを転送元に変更する。そして、サービス提供サーバからのメッセージを攻撃削除処理して、クラウドサーバ220からクライアント装置に送信する。
In step S1235, the
《クライアント装置のハードウェア構成》
図13は、本実施形態に係るクライアント装置211〜216のハードウェア構成を示すブロック図である。
<< Hardware configuration of client device >>
FIG. 13 is a block diagram illustrating a hardware configuration of the
図13で、CPU1310は演算制御用のプロセッサであり、プログラムを実行することで図6のクライアント装置211〜216の各機能構成部を実現する。ROM1320は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。また、通信制御部603は通信制御部であり、本実施形態においては、ネットワークを介してクラウドサーバ220と通信する。なお、CPU1310は1つに限定されず、複数のCPUであっても、あるいは画像処理用のGPUを含んでもよい。
In FIG. 13, a
RAM1340は、CPU1310が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM1340には、本実施形態の実現に必要なデータを記憶する領域が確保されている。クライアントID/認証情報1341は、クライアントの識別子とその認証情報である。ローカルIPアドレス1342は、通信代行するクラウドサーバ220から割り当てられ、クラウドサーバ220との通信に使用するIPアドレスである。クラウドIPアドレス1343は、通信代行するクラウドサーバ220のIPアドレスである。サーバIPアドレス1344は、クラウドサーバ220が通信代行してアクセスするサービス提供サーバのIPアドレスである。感染報知情報1345は、本クライアント装置からの送信メッセージから感染が検出された場合に受信した、報知情報である(図14参照)。入出力データ1346は、入出力インタフェース1360を介して入出力される入出力データを示す。送受信データ1347は、通信制御部603を介して送受信される送受信データを示す。
The
ストレージ1350には、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。IPアドレス保持部1351は、クライアント装置が使用するIPアドレスを保持する。ストレージ1350には、以下のプログラムが格納される。クライアント装置制御プログラム1352は、本クライアント装置211〜216の全体を制御する制御プログラムである。通信代行依頼モジュール1353は、クライアント装置制御プログラム1352において、クラウドサーバ220に通信代行を依頼するモジュールである。通信代行処理モジュール1354は、クライアント装置制御プログラム1352において、クラウドサーバ220と共に通信代行を処理するモジュールである。通信代行アプリケーションプログラム1355は、クラウドサーバ220から通信代行登録時にダウンロードされた通信代行アプリケーションを実行するプログラムである。
The
入出力インタフェース1360は、入出力機器との入出力データをインタフェースする。入出力インタフェース1360には、表示部609、キーボード、タッチパネル、ポインティンデバイスなどの操作部601が接続される。また、スピーカやマイクなどの音声入出力部610が接続される。さらに、GPS(Global Positioning System)位置生成部1361やカメラ1362などが接続される。
The input /
なお、図13には、本実施形態に必須なデータやプログラムのみが示されており、本実施形態に関連しないデータやプログラムは図示されていない。 Note that FIG. 13 shows only data and programs essential to the present embodiment, and data and programs not related to the present embodiment are not shown.
(感染報知情報)
図14は、本実施形態に係る感染報知情報1345の構成を示す図である。感染報知情報1345は、クラウドサーバ220がクライアント装置からのメッセージから感染を検出した場合に、クライアント装置に報知される情報である。
(Infection information)
FIG. 14 is a diagram showing a configuration of
感染報知情報1345は、例えばウィルスであれば、感染ウィルス名1401に対応付けて、感染検出日時1402、感染が検出されたメッセージ1403、メッセージを送るサービス提供サーバを示す転送先1404を記憶する。また、クライアント装置が有するアプリケーションプログラム1405、メッセージ内のデータ1406、治療法を含む対処情報1407を記憶する。
In the case of a virus, for example, the
なお、図示しないが、クラウドサーバ220が検出した攻撃のサービス提供サーバへの攻撃報知情報も、図14に準ずる形式を有する。また、感染報知情報1345を、参照のためサービス提供サーバに通知してもよいし、攻撃報知情報をクライアント装置に通知してもよい。さらに、第8実施形態で詳細に説明するが、クラウドサーバが感染報知情報や攻撃報知情報を蓄積して、学習情報を報知するのが望ましい。
Although not shown, the attack notification information for the attack service providing server detected by the
《クライアント装置の処理手順》
図15は、本実施形態に係るクライアント装置211〜216の処理手順を示すフローチャートである。このフローチャートは、図13のCPU1310がRAM1340を使用しながら実行し、図6の機能構成部を実現する。
<< Processing procedure of client device >>
FIG. 15 is a flowchart illustrating a processing procedure of the
まず、ステップS1511において、クライアント装置からクラウドサーバ220への通信代行依頼であるか否かを判定する。また、ステップS1521においては、クライアント装置によるメッセージの送受信か否かを判定する。
First, in step S <b> 1511, it is determined whether the request is a communication proxy request from the client device to the
通信代行登録であればステップS1513に進んで、通信代行を依頼するメッセージをクラウドサーバ220に送信する。次に、ステップS1515においては、クラウドサーバ220から割り当てられた以降使用するローカルIPアドレスを受信して、記憶する。そして、ステップS1517において、クラウドサーバ220からダウンロードされた本実施形態の処理を行なうアプリケーションプログラムを受信して、起動する。以降、クラウドサーバ220とクライアント装置との間の通信は、ローカルIPアドレスにより実行され、クライアント装置の外部との通信は、転送先にサービス提供サーバを設定することによりクラウドサーバ220により代行される。
If it is communication proxy registration, the process proceeds to step S1513, and a message requesting communication proxy is transmitted to the
クライアント装置によるメッセージの送受信であれば、ステップS1523において、ステップS1517で受信して起動した通信代行アプリケーション処理(図16参照)が実行される。 If the message is transmitted / received by the client device, in step S1523, the communication proxy application process (see FIG. 16) received and activated in step S1517 is executed.
(通信代行アプリケーション)
図16は、本実施形態に係る通信代行アプリケーションS1523の処理手順を示すフローチャートである。
(Communication agency application)
FIG. 16 is a flowchart showing a processing procedure of the communication proxy application S1523 according to this embodiment.
まず、ステップS1601において、クライアント装置からのメッセージ送信であるか否かが判定される。メッセージ送信であれば、ステップS1603に進む。 First, in step S1601, it is determined whether the message is transmitted from the client device. If it is message transmission, the process proceeds to step S1603.
ステップS1603において、送信先をクラウドサーバ220のクラウドIPアドレスに設定する。次に、ステップS1605において、送信元をローカルIPアドレスに設定する。次に、ステップS1607において、メッセージを送信したいサービス提供サーバのサーバIPアドレスを転送先として設定する。そして、ステップS1609において、メッセージを送信先のクラウドサーバに送信する。続いて、ステップS1611において、クラウドサーバ220からの感染報知情報の受信があるか否かを判定する。感染報知情報の受信がなければリターンするが、感染報知情報の受信があれば、ステップS1613において、受信した感染報知情報に基づいて感染警告を出力する。
In step S1603, the transmission destination is set to the cloud IP address of the
一方、メッセージ送信でない、すなわちメッセージ受信の場合は、ステップS1621において、メッセージの送信先がローカルIPアドレスか否かが判定される。送信先がローカルIPアドレスでなければ、何もせずに処理を終了する。 On the other hand, if the message is not transmitted, that is, if the message is received, it is determined in step S1621 whether the message destination is a local IP address. If the destination is not a local IP address, the process is terminated without doing anything.
送信先がローカルIPアドレスであれば、ステップS1623において、送信元のクラウドIPアドレスを取得する。次に、転送先からサービス提供サーバのサーバIPアドレスを取得する。ステップS1627において、受信メッセージから通信データを取得する。そして、ステップS1629において、取得した通信データを処理する。 If the destination is a local IP address, the source cloud IP address is acquired in step S1623. Next, the server IP address of the service providing server is acquired from the transfer destination. In step S1627, communication data is acquired from the received message. In step S1629, the acquired communication data is processed.
[第3実施形態]
次に、本発明の第3実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2実施形態と比べると、クラウドサーバでの攻撃排除および感染防止の共通部分と特定部分とを分離処理する点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
[Third Embodiment]
Next, an information processing system according to the third embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the second embodiment in that the common part and the specific part for attack elimination and infection prevention in the cloud server are separated. Since other configurations and operations are the same as those of the second embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
本実施形態によれば、クラウドサーバでの攻撃排除および感染防止における重複処理をなくし、迅速な処理ができる。 According to the present embodiment, duplicate processing for eliminating attacks and preventing infection in the cloud server is eliminated, and rapid processing can be performed.
《クラウドサーバの機能構成》
図17は、本実施形態に係るクラウドサーバ1720の機能構成を示すブロック図である。なお、図17において、第2実施形態の図5と同様の機能構成部には同じ参照番号を付して、説明は省略する。
<Functional configuration of cloud server>
FIG. 17 is a block diagram showing a functional configuration of the
図17において、通信制御部1701は、クライアント装置からのメッセージとサービス提供サーバからのメッセージとの感染や攻撃の検出において、共通に検出可能な部分を実行する、共通攻撃/感染検出部1701aを有する。そして、クライアント装置からのメッセージに特有の感染については、特定感染防止部1702により検出および防止を行なう。また、サービス提供サーバからのメッセージに特有の攻撃については、特定攻撃排除部1709により検出および防止を行なう。図17の攻撃遮断部1700は、攻撃/感染情報DB223と特定感染防止部1702と特定攻撃排除部1709とを含む。なお、特定感染防止部1702と特定攻撃排除部1709とは、機能的に分離して図示するが一体であってよい。
In FIG. 17, the
かかる共通攻撃/感染検出部1701aと、特定感染防止部1702と、特定攻撃排除部1709との処理は、第2実施形態と同様の攻撃/感染情報DB223に基づいて行なわれてよい。あるいは、別個にデータベースを設けてもよい。なお、例えば、図9のアドレス判定情報910による送信元や送信先、IPアドレスに基づく排除は、共通攻撃/感染検出部1701aで行なわれる。あるいは、感染や攻撃発生の初期には、特定攻撃/感染として処理され、定常的に発生する場合は共通攻撃/感染の処理に変更するようにしてもよい。
The processes of the common attack /
[第4実施形態]
次に、本発明の第4実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第3実施形態と比べると、クラウドサーバでの攻撃排除および感染防止の共通部分をルータにより分離処理する点で異なる。その他の構成および動作は、第3実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
[Fourth Embodiment]
Next, an information processing system according to the fourth embodiment of the present invention will be described. The information processing system according to the present embodiment differs from the third embodiment in that a common part of attack elimination and infection prevention in the cloud server is separated by a router. Since other configurations and operations are the same as those of the third embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
本実施形態によれば、クラウドサーバでの攻撃排除および感染防止における負荷を低減できる。 According to the present embodiment, it is possible to reduce the load in the attack elimination and infection prevention in the cloud server.
《情報処理システム》
図18は、本実施形態に係る情報処理システム1800の構成を示すブロック図である。なお、図18において、第2実施形態の図5または第3実施形態の図17と同様の機能構成部には同じ参照番号を付して、説明は省略する。
《Information processing system》
FIG. 18 is a block diagram showing a configuration of an
図18において、クラウドサーバ1820とネットワーク260との間に、共通攻撃/感染検出部1811を有するルータ1810が接続されている。共通攻撃/感染検出部1811は、共通攻撃/感染情報DB1812を参照して、クライアント装置からのメッセージとサービス提供サーバからのメッセージとの感染や攻撃の検出において、共通に検出可能な部分を実行する。かかる共通攻撃/感染検出部1811は、図17の共通攻撃/感染検出部1701aと同じでも構わない。また、図18において、クライアント装置からのメッセージに特有の感染を防止する特定感染防止部1702と、サービス提供サーバからのメッセージに特有の攻撃を排除する特定攻撃排除部1709とは、第3実施形態の図17と同様である。図18の攻撃遮断部1800は、特定攻撃/感染情報DB1823と特定感染防止部1702と特定攻撃排除部1709とを含む。なお、特定感染防止部1702と特定攻撃排除部1709とは、機能的に分離して図示するが一体であってよい。
In FIG. 18, a
さらに、感染防止や攻撃排除の処理を全てクラウドサーバからルータに移すことも可能である。また、ルータ内で共通部分と特定部分とを分けて処理したり、図5のようにクラアイント装置からのメッセージとサービス提供サーバからのメッセージとを分けて処理したりもできる。
[第5実施形態]
次に、本発明の第5実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第4実施形態と比べると、クラウドサーバによる通信代行を行ない攻撃排除および感染防止を行なう対象をWebサービスに限定した点で異なる。その他の構成および動作は、第2乃至第4実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態におけるWebサービスへの限定は、通信処理において攻撃や感染の多い例として示したものであり、他の攻撃や感染の多いサービスへの限定も同様に行なわれてよい。なお、"展開データ"との文言は、表示画面を画素単位のドットデータに展開したデータを意味する。また、"Webデータ"はオブジェクトベースのデータであり、ドットデータに展開していないデータである。
It is also possible to transfer all infection prevention and attack elimination processes from the cloud server to the router. Also, the common part and the specific part can be processed separately in the router, or the message from the client device and the message from the service providing server can be processed separately as shown in FIG.
[Fifth Embodiment]
Next, an information processing system according to the fifth embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the second to fourth embodiments in that the target for performing proxy substitution by the cloud server and performing attack elimination and infection prevention is limited to the Web service. Since other configurations and operations are the same as those of the second to fourth embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted. Note that the limitation to the Web service in the present embodiment is shown as an example of many attacks and infections in the communication processing, and the limitation to other attacks and services with many infections may be performed in the same manner. Note that the term “development data” means data obtained by developing a display screen into dot data in units of pixels. “Web data” is object-based data, and is data that has not been developed into dot data.
本実施形態によれば、特に攻撃や感染の多いWebサービスをクラウドサーバに代行させることにより、クラウドサーバの負荷を制限しながらクライアント装置への攻撃排除および感染防止ができる。 According to the present embodiment, it is possible to eliminate attacks on client devices and prevent infection while restricting the load on the cloud server by substituting the cloud server for Web services that are particularly vulnerable to attacks and infections.
《情報処理システムの動作手順》
図19は、本実施形態に係る情報処理システム1900における通信代行の動作手順を示すシーケンス図である。なお、図19において、第2実施形態の図3と同様のステップには同じステップ番号を付して、説明は省略する。
<< Operation procedure of information processing system >>
FIG. 19 is a sequence diagram showing an operation procedure of communication substitution in the
ステップS305において表示された攻撃防御サービスの内から、クライアントがWebサービスに関する攻撃防御を選択すると、ステップS1907において、Webサービスに関する攻撃防御の依頼がクラウドサーバ1920に通知される。
When the client selects an attack defense related to the web service from the attack defense services displayed in step S305, the
クラウドサーバ1920は、ステップS1909において、クライアント装置の端末IPアドレスを、クラウドサーバ1920がサービス提供サーバをアクセスする時に使用する仮想端末IPアドレスと対応付けて登録する。以降、クライアント装置からのWebサービスへのアクセスは、クラウドサーバ1920により可能端末IPアドレスを送信元として代行される。クライアント装置におけるWebサービス以外の通常のメールなどは、クライアント装置で直接、端末IPアドレスにより実行される。次に、ステップS1911において、クラウドサーバ1920は、本実施形態に係るアプリケーションプログラムをクライアント装置にダウンロードする。クライアント装置は、ステップS1913において送信されたアプリケーションプログラムを受信して、ステップS2915において起動する。
In step S1909, the
その後のクライアント端末の処理において、ステップS1921でWebサービスが選別される。Webサービス以外の処理は、本実施形態のようなクラウドサーバ1920による代行はせずに、クライアント装置から直接、送受信が行なわれる。ステップS1923において、クライアント装置からクラウドサーバ1920にWebサービスリクエストが送信される。
In the subsequent processing of the client terminal, the Web service is selected in step S1921. Processing other than the Web service is directly transmitted / received from the client device without being performed by the
クライアント装置からのWebサービスリクエストを受信したクラウドサーバ1920は、ステップS1925において、クライアント装置からのメッセージの感染有無をチェックし、感染があれば排除する。そして、ステップS1927において、感染のないWebサービスリクエストのメッセージを、クラウドサーバ1920により仮想端末IPアドレスを送信元として代行送信して、クラウドサーバ1920とサービス提供サーバとのセッションが開始する。
In
これ以降、クラウドサーバ1920とクライアント装置との通信データは、クラウドサーバ1920の仮想Webブラウザの受信メッセージではなく、受信データを画面上に展開したドットデータでやり取りされる。なお、展開したドットデータは圧縮されてよい。すなわち、ステップS1929においては、クライアント装置がクラウドサーバ1920から受信した展開データを配置する表示枠を生成する。そして、ステップS1931において、受信データを表示枠にはめこんでWebサービスのセッション開始画面を表示する。したがって、クライアントは、クライアント装置があたかもWebブラウザを実行しているかのようにクライアント装置を操作可能である。
Thereafter, the communication data between the
クライアントによる情報要求がクライアント装置に入力されると、ステップS1933において、情報要求の送信データがクラウドサーバ1920に送信される。クラウドサーバ1920においては、クライアント装置から受信した送信データに基づいてWebブラウザの送信メッセージを生成して、ステップS1937において、サービス提供サーバにWebメッセージを送信する。サービス提供サーバでは、情報要求のWebメッセージを受信して情報を取得し、ステップS1399において、クラウドサーバ1920に提供する情報を含むWebメッセージを返す。
When an information request by the client is input to the client device, transmission data of the information request is transmitted to the
クラウドサーバ1920は、ステップS1941において、受信したWebメッセージに対して攻撃チェックを行ない、攻撃があって排除できなければメッセージを破棄する。攻撃チェック済みのメッセージは、ステップS1943において、出力情報に展開される。そして、ステップS1945において出力情報を圧縮し、ステップS1947において画面展開データをクライアント装置に送信する。
In step S1941, the
クライアント装置は、ステップS1949において、受信した画面展開データをステップS1929で設定した表示枠に配置して表示する。本実施形態のようにクライアント装置とクラウドサーバ1920との間の通信は展開データなので、感染や攻撃が排除されたデータの通信となる。また、展開データのデータ長やデータ量は予測できるため、閾値と比較することで簡単に感染や攻撃を検出できることになる。
In step S1949, the client device arranges and displays the received screen development data in the display frame set in step S1929. Since the communication between the client device and the
ステップS1951においては、クライアント装置からサービス提供サーバへのアクセスを終了するか否かを判定する。終了でなければステップS1933に戻って、次のサービスリクエストを繰り返す。サービス提供サーバへのアクセスが終了であればステップS1953に進んで、クライアント装置からクラウドサーバ1920に終了が通知される。クラウドサーバ1920は終了通知を受けて、ステップS1955において、仮想Webブラウザによるサービス提供サーバとのセッション終了処理を行なう。
In step S1951, it is determined whether or not the access from the client device to the service providing server is to be terminated. If not completed, the process returns to step S1933 to repeat the next service request. If the access to the service providing server is completed, the process advances to step S1953, and the client device notifies the
《通信メッセージ》
図20は、本実施形態に係る情報処理システム1900の通信メッセージの構成を示す図である。なお、図20の通信メッセージの構成は一例であって、これに限定されない。
《Communication message》
FIG. 20 is a diagram showing a configuration of a communication message of the
図20の上段は、クライアント装置1911〜1916からクラウドサーバ1920を介してサービス提供サーバへの通信メッセージの構成の変換を示す図である。クライアント装置から1911〜1916からクラウドサーバ1920への送信メッセージ2010には、送信先にクラウドIPアドレス、送信元にクライアント装置の端末IPアドレス、転送先にサーバIPアドレスが配置される。ここで、データは展開データである。そして、クラウドサーバ1920からサービス提供サーバへの送信メッセージ2020には、送信先にサーバIPアドレス、送信元に通信代行を依頼したクライアント装置に対応して割り当てられた仮想端末IPアドレスが配置される。この変換は、IPアドレス変換テーブル2121を参照して実行する。ここで、データはWebデータである。
The upper part of FIG. 20 is a diagram illustrating conversion of the configuration of the communication message from the
図20の下段は、サービス提供サーバからクラウドサーバ1920を介してクライアント装置1911〜1916への通信メッセージの構成の変換を示す図である。サービス提供サーバからクラウドサーバ1920への送信メッセージ1030には、送信先にクラウドサーバ1920が通信代行しているクライアント装置に対応して割り当てられた仮想端末IPアドレス、送信元にサーバIPアドレスが配置される。ここで、データはWebデータである。そして、クラウドサーバ1920からクライアント装置1911〜1916への送信メッセージ1940には、送信先にクライアント装置の端末IPアドレス、送信元にクラウドIPアドレス、転送元にサーバIPアドレスが配置される。この変換は、IPアドレス変換テーブル2121を参照して実行する。ここで、データは展開データである。
The lower part of FIG. 20 is a diagram illustrating the conversion of the communication message configuration from the service providing server to the
なお、図20においては、転送先や転送元はサービス提供サーバのWebサービスである。本実施形態においては、サービス提供サーバや他のクライアント装置とのメール通信の場合は、クラウドサーバ1920で代行されずに、直接、クライアント装置から通信することになる。
In FIG. 20, the transfer destination and transfer source are Web services of the service providing server. In the present embodiment, in the case of mail communication with a service providing server or another client device, communication is performed directly from the client device without being substituted by the
《クラウドサーバの機能構成》
図21は、本実施形態に係るクラウドサーバ1920の機能構成を示すブロック図である。なお、図21において、第2実施形態の図5と同様の機能構成部には同じ参照番号を付して、説明は省略する。
<Functional configuration of cloud server>
FIG. 21 is a block diagram showing a functional configuration of the
まず、IPアドレス変換テーブル2121には、図5とは違って、クライアント装置の端末IPアドレスと、クラウドサーバ1920がサービス提供サーバのアクセスに使用する仮想端末IPアドレスとが対応付けて登録される(図23A参照)。また、通信データキャッシュ部2122は、図5とは異なるIPアドレスに対応付けて通信データを一時保持する(図23B参照)。また、攻撃/感染情報DB2123は、図5の攻撃/感染情報DB223に加えて、クライアント装置とクラウドサーバ1920との間の通信データ量から攻撃や感染を判定する閾値を格納する(図24参照)。
First, unlike FIG. 5, in the IP address conversion table 2121, the terminal IP address of the client device and the virtual terminal IP address that the
図21の攻撃遮断部2100は、攻撃/感染情報DB2123と感染防止部2102と攻撃排除部509と第2攻撃排除部2114を含む。なお、感染防止部2102と攻撃排除部509と第2攻撃排除部2114とは、機能的に分離して図示するが一体であってよい。感染防止部2102は、図5の感染防止部502の感染防止に加えて、クライアント装置からの受信データ長や受信データ量に基づく感染検出を行なう。代行通信登録部2104は、IPアドレス変換テーブル2121に本実施形態に使用されるIPアドレスを登録する。端末送信データ生成・送信部2108は、通信データキャッシュ部2122から読み出したクライアント装置から受信した展開データからWeb用の端末送信データを生成して、サービス提供サーバに送信する。端末受信データ展開・送信部2113は、通信データキャッシュ部2122から読み出したサービス提供サーバから受信したWebデータを展開して端末受信データを生成して、クライアント装置に送信する。第2攻撃排除部2114は、端末受信データ展開・送信部2113がクライアント装置に送信する展開されたデータを、そのデータ長やデータ量に基づいて、攻撃を検出し排除する。
The
《クライアント装置の機能構成》
図22は、本実施形態に係るクライアント装置1911〜1916の機能構成を示すブロック図である。なお、図22において、第2実施形態の図6と同様の機能構成部には同じ参照番号を付して、説明は省略する。
<< Functional configuration of client device >>
FIG. 22 is a block diagram illustrating a functional configuration of the
Webサービス選別部2205は、操作部601へのクライアントの操作から、Webサービスに通信接続しようとしていることを判定する。そして、Webサービスへの通信接続であれば、端末送信データ送信部606に対して、通信代行を依頼しているクラウドサーバ1920へ端末送信データを送信する。
The Web
(IPアドレス変換テーブル)
図23Aは、本実施形態に係るIPアドレス変換テーブル2121の構成を示す図である。
(IP address conversion table)
FIG. 23A is a diagram showing a configuration of the IP address conversion table 2121 according to the present embodiment.
IPアドレス変換テーブル2121は、通信代行を依頼してクラウドサーバ1920で受理された場合に、依頼したクライアント装置の初期の端末IPアドレス2311に対応付けて、新たにクライアント装置に対応してクラウドサーバ1920が使用する仮想端末IPアドレス2312を記憶する。かかるIPアドレス変換テーブル2121により、通信代行をするクライアント装置の登録と、Webサービス時にクライアント装置が直接、攻撃を受けないためのIPアドレスの変換が実現される。
When the IP address conversion table 2121 requests communication agency and is accepted by the
(通信データキャッシュ部)
図23Bは、本実施形態に係る通信データキャッシュ部2122の構成を示す図である。
(Communication data cache)
FIG. 23B is a diagram showing a configuration of the communication
通信データキャッシュ部2122は、サービス提供サーバからの受信メッセージを一時保存するサーバメッセージ・キャッシュ部2320と、クライアント装置からの受信メッセージを一時保存するクライアント装置メッセージ・キャッシュ部2330と、を有する
サーバメッセージ・キャッシュ部2320は、サービス提供サーバからのメッセージの受信時刻2321に対応付けて、送信先の仮想端末IPアドレス2322、送信元のサーバIPアドレス2323、受信メッセージ(クライアント装置へ送信する前のWebメッセージ)2324、攻撃や感染有無による通信可否フラグ2325を記憶する。
The communication
クライアント装置メッセージ・キャッシュ部2330は、クライアント装置からのメッセージの受信時刻2331に対応付けて、送信元のクライアント装置の端末IPアドレス2332、転送先のサーバIPアドレス2333、受信メッセージ(サービス提供サーバへ送信する前の展開データメッセージ)2334、攻撃や感染有無による通信可否フラグ2335を記憶する。
The client device
(攻撃/感染情報DB)
図24は、本実施形態に係る攻撃/感染情報DB2123の構成を示す図である。
(Attack / Infection Information DB)
FIG. 24 is a diagram showing a configuration of the attack /
攻撃/感染情報DB2123は、図9の攻撃/感染情報DB223と同様に、アドレス判定情報910と、プロトコル判定情報920と、データ/プログラム判定情報930と、を有する。さらに、攻撃/感染情報DB2123は、クライアント装置とクラウドサーバ1920との間で通信される展開データに基づいて、攻撃や感染を簡易に検出するためのデータ量閾値2410を有する。データ量閾値2410は、クライアント装置がクラウドサーバ1920に送信する端末送信データ量の閾値2411と、クライアント装置がクラウドサーバ1920から受信する端末受信データ量の閾値2412と、を含む。なお、攻撃/感染情報DB2123の構成は本例に限定されない。
The attack /
《クラウドサーバの処理手順》
図25は、本実施形態に係るクラウドサーバ1920の処理手順を示すフローチャートである。このフローチャートは、図10のCPU1010がRAM1040を使用しながら実行し、図21の機能構成部を実現する。なお、図25において、第2実施形態の図11と同様のステップには同じステップ番号を付して、説明は省略する。
《Cloud server processing procedure》
FIG. 25 is a flowchart showing a processing procedure of the
まず、ステップS2511において、クライアント装置からのWebサービスの通信代行依頼による通信代行登録であるか否かを判定する。また、ステップS2521においては、クライアント装置からの展開データを含むメッセージを受信したか否かを判定する。また、ステップS2531においては、サービス提供サーバからのWebメッセージを受信したか否かを判定する。 First, in step S2511, it is determined whether or not communication proxy registration is performed by a Web service communication proxy request from a client device. In step S2521, it is determined whether a message including expanded data from the client device has been received. In step S2531, it is determined whether a Web message has been received from the service providing server.
Webサービスの通信代行登録であればステップS2513に進んで、通信代行を依頼したクライアント装置に割り当てる仮想端末IPアドレスを取得する。なお、仮想端末IPアドレスはあらかじめクラウドサーバ1920が準備しておく。次に、ステップS2515において、IPアドレス変換テーブル2121に通信代行を依頼したクライアント装置の端末IPアドレスと、ステップS2513で取得した仮想通信IPアドレスとを対応付けて登録する。以降、Webサービスの場合には、クラウドサーバ1920とサービス提供サーバとの間の通信は、仮想端末IPアドレスにより実行され、Webサービスにおけるクライアント装置の外部との通信は、仮想端末IPアドレスを送信元とするクラウドサーバ1920の通信により代行される。
If it is Web service communication proxy registration, the process advances to step S2513 to acquire a virtual terminal IP address to be assigned to the client device that has requested communication proxy. The
クライアント装置からの展開データを含むメッセージ受信であればステップS2523に進んで、クライアント装置からの受信メッセージによる感染拡大を防止する処理が実行される。この感染拡大防止処理には、第2実施形態の処理に加えて、通信データ長や通信データ量に基づく簡易な検出が行なわれる。なお、感染が検出されれば、クライアント装置にその旨を報知して、感染が排除できなければ受信メーセージは廃棄される。そして、ステップS2525において、クライアント装置から受信した展開データを含むメッセージを、送信元のクライアント装置や転送先のサービス提供サーバに対応付けて通信データキャッシュ部2122に一時保持する。その後、Webメッセージのサービス提供サーバへの送信が、サーバへのメッセージ送信処理により実行される(図26A参照)。
If a message including expanded data from the client device is received, the process advances to step S2523 to execute a process for preventing the spread of infection by the received message from the client device. In this infection spread prevention process, simple detection based on the communication data length and the communication data amount is performed in addition to the process of the second embodiment. If an infection is detected, the client device is notified of this, and if the infection cannot be eliminated, the received message is discarded. In step S2525, the message including the decompressed data received from the client device is temporarily stored in the communication
サービス提供サーバからのWebメッセージ受信であればステップS1133に進んで、サービス提供サーバからの受信メッセージによる攻撃を排除する処理が実行される。なお、攻撃が検出されれば、サービス提供サーバにその旨を報知して、攻撃が排除できなければ受信メーセージは廃棄される。そして、ステップS2535において、攻撃排除処理が行なわれたWebメッセージは、送信元のサービス提供サーバや送信先のクライアント装置に対応付けて通信データキャッシュ部2122に記憶される。その後、展開メッセージのクライアント装置への送信が、クライアント装置へのメッセージ送信処理により実行される(図26B参照)。
If a Web message is received from the service providing server, the process advances to step S1133 to execute processing for eliminating an attack caused by the received message from the service providing server. If an attack is detected, this is notified to the service providing server, and if the attack cannot be eliminated, the received message is discarded. In step S2535, the Web message subjected to the attack elimination process is stored in the communication
(サービス提供サーバへのメッセージ送信処理)
図26Aは、本実施形態に係るサービス提供サーバ230〜250へのメッセージ送信処理S2527の処理手順を示すフローチャートである。なお、図26Aにおいて、第2実施形態の図11Aと同様のステップには同じステップ番号を付して、説明は省略する。
(Message transmission processing to the service provider server)
FIG. 26A is a flowchart showing a processing procedure of message transmission processing S2527 to the
まず、ステップS1211においては、通信データキャッシュ部2122に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かが判定される。多くなければステップS1221に進んで、通信データキャッシュ部2122に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの総数が、閾値nより多いか否かが判定される。閾値nより多くなければリターンする。一方、閾値nより多ければ図26BのステップS2537の処理を呼び出して実行する。
First, in step S1211, it is determined whether the total number of messages from the client device to the service providing server temporarily held in the communication
ステップS1211の判定において、サービス提供サーバへのクライアント装置からのメッセージの総数が閾値mより多い場合には、ステップS2613に進む。ステップS2613においては、通信データキャッシュ部2122に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの内、優先順位の高いメッセージを選択して取得する。そして、ステップS2615において、通信データキャッシュ部2122から読み出した展開データに基づいて、Webメッセージを生成する。
If it is determined in step S1211 that the total number of messages from the client device to the service providing server is greater than the threshold value m, the process advances to step S2613. In step S2613, a message with a high priority is selected and acquired from the messages from the client device to the service providing server temporarily held in the communication
ステップS2617においては、クライアント装置からのメッセージの送信元である端末IPアドレスを、IPアドレス変換テーブル2121を参照してクライアント装置に割り当てられた仮想端末IPアドレスに変換する。次に、ステップS2619において、メッセージの送信先を転送先であるサービス提供サーバのサーバIPアドレスに設定する。そして、ステップS2621において、クライアント装置からのwebメッセージを感染防止処理して、クラウドサーバ1920からサービス提供サーバに送信する。
In step S2617, the terminal IP address that is the source of the message from the client device is converted into a virtual terminal IP address assigned to the client device with reference to the IP address conversion table 2121. In step S2619, the message transmission destination is set to the server IP address of the service providing server that is the transfer destination. In step S2621, the web message from the client device is subjected to infection prevention processing, and is transmitted from the
(クライアント装置へのメッセージ送信処理)
図26Bは、本実施形態に係るクライアント装置1911〜1916へのメッセージ送信処理S2537の処理手順を示すフローチャートである。なお、図26Bにおいて、第2実施形態の図11Bと同様のステップには同じステップ番号を付している。
(Message transmission processing to the client device)
FIG. 26B is a flowchart illustrating a processing procedure of message transmission processing S2537 to the
まず、ステップS1231においては、通信データキャッシュ部2122に一時保持されたクライアント装置へのサービス提供サーバからのwebメッセージの総数が、閾値nより多いか否かが判定される。多くなければステップS1243に進んで、通信データキャッシュ部2122に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かが判定される。閾値mより多くなければリターンする。一方、閾値mより多ければ図26AのステップS2527の処理を呼び出して実行する。
First, in step S1231, it is determined whether or not the total number of web messages from the service providing server to the client device temporarily held in the communication
ステップS1231の判定において、クライアント装置へのサービス提供サーバからのメッセージの総数が閾値nより多い場合には、ステップS1233に進む。ステップS1233においては、通信データキャッシュ部2122に一時保持されたクライアント装置へのサービス提供サーバからのWebメッセージの内、優先順位の高いメッセージを選択して取得する。
If it is determined in step S1231 that the total number of messages from the service providing server to the client device is greater than the threshold value n, the process advances to step S1233. In step S1233, a high priority message is selected and acquired from the Web messages from the service providing server to the client device temporarily held in the communication
次に、ステップS2635において、通信データキャッシュ部2122から読み出したWebメッセージを展開して展開データを生成する。そして、その展開データのデータ長やデータ量に基づいて、攻撃有無の簡易な判定を行なう。
Next, in step S2635, the Web message read from the communication
そして、ステップS1237において、メッセージの送信元をクラウドサーバ1920のクラウドIPアドレスに設定する。次に、ステップS1239において、メッセージの送信元であるサービス提供サーバのサーバIPアドレスを転送元に変更する。そして、サービス提供サーバからの展開データを攻撃削除処理して、クラウドサーバ1920からクライアント装置に送信する。
In step S 1237, the message transmission source is set to the cloud IP address of the
《クライアント装置の処理手順》
図27は、本実施形態に係るクライアント装置1911〜1916の処理手順を示すフローチャートである。このフローチャートは、図13のCPU1310がRAM1340を使用しながら実行し、図22の機能構成部を実現する。なお、図27において、第2実施形態の図15と同様のステップには同じステップ番号を付している。
<< Processing procedure of client device >>
FIG. 27 is a flowchart illustrating a processing procedure of the
まず、ステップS2711において、クライアント装置からクラウドサーバ1920へのWebサービスの通信代行依頼であるか否かを判定する。また、ステップS1521においては、クライアント装置によるメッセージの送受信か否かを判定する。
First, in step S2711, it is determined whether the request is a Web service communication proxy request from the client device to the
Webサービスの通信代行登録であればステップS2713に進んで、Webサービスの通信代行を依頼するメッセージをクラウドサーバ1920に送信する。そして、ステップS1517において、クラウドサーバ1920からダウンロードされた本実施形態の処理を行なうアプリケーションプログラムを受信して、起動する。以降、クライアント装置の外部とのWeb通信は、転送先にサービス提供サーバを設定することによりクラウドサーバ1920により代行される。
If it is Web service communication proxy registration, the process proceeds to step S2713, and a message requesting Web service communication proxy is transmitted to the
クライアント装置によるメッセージの送受信であればステップS2721に進んで、Webサービスか否かが判定される。Webサービスでない通常のメール通信などの場合はステップS2725に進んで、クライアント装置から直接、通常の通信処理を行なう。一方、Webサービスの場合はステップS2723に進んで、Webサービスの通信代行アプリケーション処理(図28参照)が実行される。 If the message is transmitted and received by the client device, the process advances to step S2721, and it is determined whether the message is a Web service. In the case of normal mail communication that is not a Web service, the process advances to step S2725 to perform normal communication processing directly from the client device. On the other hand, in the case of a Web service, the process proceeds to step S2723, and a Web service communication proxy application process (see FIG. 28) is executed.
(通信代行アプリケーション)
図28は、本実施形態に係る通信代行アプリケーションS2723の処理手順を示すフローチャートである。なお、図27において、第2実施形態の図15と同様のステップには同じステップ番号を付して、説明は省略する。
(Communication agency application)
FIG. 28 is a flowchart showing a processing procedure of the communication proxy application S2723 according to the present embodiment. In FIG. 27, steps similar to those in FIG. 15 of the second embodiment are denoted by the same step numbers, and description thereof is omitted.
まず、ステップS1601において、クライアント装置からのメッセージ送信であるか否かが判定される。メッセージ送信であれば、ステップS1603に進む。そして、ステップS2805においては、送信元をクライアント装置の端末IPアドレスに設定する。また、ステップS2809においては、クラウドサーバ1920が生成するWebメッセージの基となる展開データを送信する。
First, in step S1601, it is determined whether the message is transmitted from the client device. If it is message transmission, the process proceeds to step S1603. In step S2805, the transmission source is set to the terminal IP address of the client device. In step S2809, the expansion data that is the basis of the Web message generated by the
クライアント装置からのメッセージ送信でない、すなわちメッセージ受信であれば、ステップS2821において、受信したメッセージの送信元がクラウドIPアドレスであるか否かを判定する。クラウドIPアドレスでなければ、何もせずに処理を終了する。すなわち、Webサービスについては、クラウドサーバ1920が代行しない通信は遮断することになる。以降、ステップS2827においては、Webメッセージから展開された展開データを取得する。そして、ステップS2829においては、展開データの処理を行なう。例えば、展開データを表示枠に配置して、クライアントにはあたかも直接、Webサービスを受けているかのように処理を行なう。
[第6実施形態]
次に、本発明の第6実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第5実施形態と比べると、クラウドサーバによって通信代行を行なうWebサービスを複数のクライアント装置で共有する点で異なる。その他の構成および動作は、第5実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態におけるサービスの複数のクライアント装置による共有はWebサービスに限定されることなく、第7実施形態で説明する仮想PCにおいても同様に実現可能である。
If the message is not transmitted from the client device, that is, if the message is received, it is determined in step S2821 whether the source of the received message is a cloud IP address. If it is not a cloud IP address, the process ends without doing anything. That is, for the Web service, communication that the
[Sixth Embodiment]
Next, an information processing system according to the sixth embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the fifth embodiment in that a Web service that performs communication proxy by a cloud server is shared by a plurality of client devices. Since other configurations and operations are the same as those of the fifth embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted. Note that the sharing of a service in the present embodiment by a plurality of client devices is not limited to the Web service, and can be similarly realized in the virtual PC described in the seventh embodiment.
本実施形態によれば、攻撃や感染の多いWebサービスにおいて、クラウドサーバにより攻撃排除および感染防止した情報を複数のクライアント装置により共有できる。 According to the present embodiment, in a Web service with many attacks and infections, information that has been eliminated and prevented from infection by the cloud server can be shared by a plurality of client devices.
《情報処理システムの処理手順》
図29は、本実施形態に係る情報処理システム2900における通信代行の動作手順を示すシーケンス図である。なお、図29においては、クラウドサーバ2920への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、Webサービスの提供部分を図示する。また、図29において、第5実施形態の図19と同様のステップには同じステップ番号を付して、説明は省略する。また、図29においては、クライアント装置2911がマスタ装置となって、クライアント装置2916と画面共有する例を示すが、これに限定されない。
<< Processing procedure of information processing system >>
FIG. 29 is a sequence diagram showing an operation procedure of communication proxy in the
ステップS1915において、クライアント装置2911および2916において共通の本実施形態のアプリケーションを起動する。 In step S1915, the client apparatus 2911 and 2916 launches the common application of this embodiment.
ステップS2923においては、クライアント装置2911からのWebサービスリクエストに、画面共有するクライアント装置2916が通知される。なお、かかる画面共有の通知は、画面共有する装置の指定ではなく、画面共有を許可する装置の指定であり各装置のリクエストにより画面共有する構成であってもよい。ステップS2925においては、クラウドサーバ2920が画面共有であること、およびその対象装置を記憶する。そして、最初から画面共有する場合であれば、ステップS2931において、クライアント装置2911および2916の双方にWebサービス開始の展開データが送信される。以下、ステップS2945においても、クライアント装置2911および2916の双方にWebブラウザ結果の展開データが送信される。
In step S 2923, the client apparatus 2916 sharing the screen is notified of the Web service request from the client apparatus 2911. The notification of screen sharing is not the designation of the device that shares the screen, but the designation of the device that permits screen sharing, and may be configured to share the screen upon request of each device. In step S2925, the
《クラウドサーバの機能構成》
図30は、本実施形態に係るクラウドサーバ2920の機能構成を示すブロック図である。なお、図30において、第2実施形態の図2あるいは第5実施形態の図21と同様の機能構成部には同じ参照番号を付して、説明は省略する。
<Functional configuration of cloud server>
FIG. 30 is a block diagram showing a functional configuration of the
画面共有設定部3005は、クライアント装置からの画面共有の設定メッセージを受信して、IPアドレス変換テーブル3021に画面共有する複数のクライアント装置の端末IPアドレスを登録する。端末送信データ送信部3008は、IPアドレス変換テーブル3021に登録された画面共有の設定情報に基づいて、複数のクライアント装置に対して画面データを送信する。
The screen
(IPアドレス変換テーブル)
図31は、本実施形態に係るIPアドレス変換テーブル2921の構成を示す図である。なお、図31において、第5実施形態の図23Aと共通の部分は、同じ参照番号を付して、説明は省略する。
(IP address conversion table)
FIG. 31 is a diagram showing the configuration of the IP address conversion table 2921 according to this embodiment. In FIG. 31, the same reference numerals are given to portions common to FIG. 23A of the fifth embodiment, and description thereof is omitted.
IPアドレス変換テーブル2921は、図23Aと同様の、IP変換情報3110と、画面共有するクライアント装置の組みを記憶する画面共有情報3120とを有する。画面共有情報3120は、画面共有のクライアント装置の組み、画面共有第1端末IPアドレス3121、画面共有第2端末IPアドレス3122、...を記憶する。
The IP address conversion table 2921 includes
[第7実施形態]
次に、本発明の第7実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第5および第6実施形態と比べると、クラウドサーバ内に生成した仮想コンピュータである仮想PCによって通信代行を行なう点で異なる。すなわち、本実施形態の情報処理システムは、シンクライアントサーバシステムである。したがって、本実施形態の通信代行はWebサービスに限定されない。その他の構成および動作は、第5および第6実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
[Seventh Embodiment]
Next, an information processing system according to a seventh embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the fifth and sixth embodiments in that communication proxy is performed by a virtual PC that is a virtual computer generated in the cloud server. That is, the information processing system of this embodiment is a thin client server system. Therefore, the communication proxy of this embodiment is not limited to the web service. Since other configurations and operations are the same as those in the fifth and sixth embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
本実施形態によれば、攻撃や感染を検出した場合に今までの仮想PCを削除して新たな仮想PCに処理を以降することによって、攻撃や感染の影響を最小限に抑えることができる。 According to the present embodiment, when an attack or infection is detected, the effect of the attack or infection can be minimized by deleting the existing virtual PC and performing the process on a new virtual PC.
《情報処理システム》
図32は、本実施形態に係る情報処理システム3200の構成を示すブロック図である。なお、図32において、第2実施形態の図2と同様の構成要素には同じ参照番号を付して、説明は省略する。
《Information processing system》
FIG. 32 is a block diagram showing the configuration of the
本実施形態のクラウドサーバ3220は、クライアント装置の通信を代行する構成として、各クライアント装置に対応付けた仮想PCを有する。第3実施形態に従えば、クラウドサーバ3220には、共通攻撃/感染検出・排除部と、各仮想PCが有する特定攻撃/感染排除部とが設けられる。
The
例えば、携帯電話であるクライアント装置211のSNSサーバ240との通信は、第1仮想PCにより代行されている。また、スマートフォンであるクライアント装置213のWebサーバ230との通信は、第2仮想PCにより代行されている。また、デスクトップ型PCであるクライアント装置216のコンテンツ提供サーバ250との通信は、第3仮想PCにより代行されている。なお、第2実施形態に従えば、クライアント装置211〜216間の通信メールも、クラウドサーバ3220により代行されてよい。
For example, communication with the
《情報処理システムの動作手順》
図33は、本実施形態に係る情報処理システム3200における通信代行の動作手順を示すシーケンス図である。なお、図33においては、スマートフォンであるクライアント装置213がクラウドサーバ3220の第2仮想PCによる通信代行を行なっている時に、攻撃を検出して、第2仮想PCから第n仮想PCに代行を移す通信代行制御の例を説明する。しかしながら、仮想PCの変更は、効果的なクライアント装置の攻撃からの防御の一例を示すのみであり、クラウドサーバ3220の仮想PCによる通信の代行自体も攻撃排除あるいは感染拡大防止に十分対応できるものである。また、図33においては、クラウドサーバ3220への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、Webサービスの提供部分を図示する。また、図33において、第5実施形態の図19と同様のステップには同じステップ番号を付して、説明は省略する。
<< Operation procedure of information processing system >>
FIG. 33 is a sequence diagram showing an operation procedure of communication proxy in the
クライアント装置213からのWebサービスリクエストがあり、ステップS3327において、クライアント装置213に対応する第2仮想PCとサービス提供サーバとの間のセッションを開始する。ステップS3331においては、セッション開始の画面がクライアント装置213に送信され表示される。
There is a Web service request from the
ステップS3333において、クライアントによる最初の情報要求指示がセッション開始画面で行なわれると、ステップS3335において、情報要求が第2仮想PCに代行されて、サービス提供サーバに送信される。サービス提供サーバは、情報要求を受けて、ステップS3337において、要求された情報を取得しクラウドサーバ3220の第2仮想PCに返す。
In step S3333, when the first information request instruction from the client is made on the session start screen, the information request is transmitted to the service providing server on behalf of the second virtual PC in step S3335. Upon receiving the information request, the service providing server acquires the requested information and returns it to the second virtual PC of the
クラウドサーバ3220あるいは第2仮想PCでは、ステップS3339において、攻撃のチェックが行なわれる。以下、図33においては、攻撃を検出した場合の処理を説明する。攻撃が検出されなければ、第2仮想PCによるクライアント装置213の通信代行が継続される。
In the
クラウドサーバ3220は、攻撃の検出を受けて、ステップS3341において、第2仮想PCをターミネートする。すなわち、第2仮想PCの動作を停止する。そして、ステップS3351において、新たな第n仮想PCを生成して起動する。その時に、第2仮想PCの攻撃検出以前の基本的なデータやアプリケーションを、新たに生成された第n仮想PCに移行する。なお、データやアプリケーションの移行時にも、攻撃あるいは感染の検出を行なってもよい。そして、第2仮想PCの全ての構成および情報をクラウドサーバ3220からクリアする。このクリアは、表面的なアドレス変更やファイル削除ではなくて、例えば、記憶部であれば全てにゼロを書き込むように、第2仮想PCの痕跡を消し去る。
Upon receiving the attack detection, the
第n仮想PCにおいては、クライアント装置213からのWebサービスリクエストが保持されていれば、ステップS3353において、サービス提供サーバに情報要求を行なう。もし、クライアント装置213からのWebサービスリクエストが保持されてなければ、セッション開始画面をクライアント装置213に送って、クライアントの最初からの指示を待つことになる。
If the Web service request from the
ステップS3355におけるサービス提供サーバからの情報提供を受けて、クラウドサーバ3220および第n仮想PCは、ステップS3359において、攻撃のチェックあるいは排除を行なう。攻撃があれば提供された情報は破棄される。攻撃がなければ、ステップS3359において、第n仮想PCからクライアント装置にサービス提供サーバから提供された情報を送信する。
In response to the provision of information from the service providing server in step S3355, the
クライアント装置213では、ステップS3361において、受信した情報を出力する。ステップS3363においては、サービス提供サーバへのアクセス終了を判定する。アクセス終了でなければ、ステップS336において、第n仮想PCに対する情報要求指示の処理を繰り返す。アクセス終了であれば、ステップS3367において、終了通知を第n仮想PCに送信し、第n仮想PCは、ステップS3369において、サービス提供サーバとのWebブラウザによるセッションを終了する。
In step S3361, the
[第8実施形態]
次に、本発明の第8実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第7実施形態と比べると、攻撃や感染の検出を蓄積してその傾向を学習し、クライアント装置やサービス提供サーバなどの広く周知させる点で異なる。その他の構成および動作は、第2乃至第7実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
[Eighth Embodiment]
Next, an information processing system according to an eighth embodiment of the present invention will be described. Compared with the second to seventh embodiments, the information processing system according to the present embodiment accumulates the detection of attacks and infections and learns the tendency thereof, and widely disseminates client devices, service providing servers, and the like. Different. Since other configurations and operations are the same as those of the second to seventh embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
本実施形態によれば、情報処理システムにおいて未然に攻撃や感染の発生を抑えることができる。 According to the present embodiment, it is possible to suppress the occurrence of attacks and infections in the information processing system.
《情報処理システムの動作手順》
図34は、本実施形態に係る情報処理システム3400における通信代行の動作手順を示すシーケンス図である。なお、図34においては、クラウドサーバ3420への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、サービスの提供部分を図示する。また、図34においては、クライアント装置にアクセス警告情報を報知する3つの例のそれぞれを、まとめて図示する。しかしながら、これら3つの例に限定されない。
<< Operation procedure of information processing system >>
FIG. 34 is a sequence diagram showing an operation procedure of communication proxy in the
(第1アクセス警告例)
ステップS3401において、サービス提供サーバへのアクセスリクエストがあると、ステップS3403において、クライアント装置からクラウドサーバ3420にサービスリクエストが送信される。
(First access warning example)
If there is an access request to the service providing server in step S3401, the service request is transmitted from the client device to the
クラウドサーバ3420では、ステップS3405において、攻撃/感染情報DB223を参照して、感染チェックおよび排除が行なわれる。次に、ステップS3407において、感染検出した場合には、感染メッセージのアクセス先やアクセス対象を攻撃対象学習DB3424に蓄積する。同時に、攻撃対象学習DB3424を参照して、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報を読み出す。そして、ステップS3409においては、感染検出した場合には感染警告と共に、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報としてクライアント装置に送信する。クライアント装置においては、受信したアクセス警告情報を出力する。
In the
(第2アクセス警告例)
ステップS3421におけるサービス提供サーバからクラウドサーバ3420への情報提供は、ステップS3423において、攻撃がチェックおよび排除される。次に、ステップS3425において、攻撃検出した場合には、攻撃メッセージのアクセス元やアクセス対象を攻撃対象学習DB3424に蓄積する。同時に、攻撃対象学習DB3424を参照して、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報を読み出す。そして、ステップS3427においては、攻撃検出した場合には攻撃警告と共に、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報として、サービス提供サーバならびにクライアント装置に送信する。
(Second access warning example)
Information provision from the service providing server to the
(第3アクセス警告例)
ステップS3431において、クラウドサーバ3420は、攻撃対象学習DB3424に格納された攻撃や感染情報を読み出して解析し、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象を判定する。そして、ステップS3433において、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報として、サービス提供サーバならびにクライアント装置に送信する。
(Example of third access warning)
In step S3431, the
《クラウドサーバの機能構成》
図35は、本実施形態に係るクラウドサーバ3420の機能構成を示すブロック図である。なお、図35においては、検出した攻撃や感染情報の蓄積と、その学習情報の提供とに関連する機能構成部のみを示し、他の通信代行に関連する機能構成部は煩雑さを避けるために図示していない。また、図35において、第2実施形態の図5におけると同様の機能構成部は同じ参照番号を付して、説明を省略する。
<Functional configuration of cloud server>
FIG. 35 is a block diagram showing a functional configuration of the
感染情報記憶部3501は、感染防止部502が検出した感染情報を端末送信データと共に攻撃対象学習DB3424に記憶する。攻撃情報記憶部3502は、攻撃排除部509が検出した攻撃情報を端末受信データと共に攻撃対象学習DB3424に記憶する。
The infection
攻撃対象分析テーブル3503aを有する攻撃対象分析部3503は、攻撃対象学習DB3424に蓄積された攻撃や感染の履歴情報に基づいて、攻撃対象を分析する。攻撃警告情報生成部3504は、攻撃対象分析部3503の分析結果からクライアント装置やサービス提供サーバに報知するための攻撃警告情報を生成する。図35の端末送信データ送信部3508は、図5の端末送信データ送信部508の機能に加えて、攻撃警告情報をサービス提供サーバに送信する機能を有する。図35の端末受信データ送信部3513は、図5の端末受信データ送信部513の機能に加えて、攻撃警告情報をクライアント装置に送信する機能を有する。
The attack
(攻撃対象学習DB)
図36は、本実施形態に係る攻撃対象学習DB3424の構成を示す図である。図36の構成は一例であって、これに限定されない。
(Attack target learning DB)
FIG. 36 is a diagram showing a configuration of the attack
攻撃対象学習DB3424は、提供されるサービスに関連付けられた攻撃や感染を記憶するサービス対象情報3610と、サービスの種別に関連付けられた攻撃や感染を記憶するサービス種別情報3620と、サービスの提供経路に関連付けられた攻撃や感染を記憶するサービス経路情報3630と、を含む。
The attack
サービス対象情報3610は、攻撃や感染を検出したサービス提供オーナー3611に対応付けて、攻撃や感染を検出した複数のサービス提供サーバ3612を記憶する。そして、各サービス提供サーバ3612に対応付けて、攻撃や感染を検出した複数のサービス内容3613を記憶する。そして、各サービス内容3613に対応付けて、攻撃内容3614や攻撃回数3615を記憶する。
The
サービス種別情報3620は、攻撃や感染を検出したサービスデータ中のキーワード群3621に対応付けて、攻撃や感染を検出した複数のキーワード3622を記憶する。そして、各キーワード3622に対応付けて、攻撃内容3623や攻撃回数3624を記憶する。
The
サービス経路情報3630は、攻撃や感染を検出したサービス提供のアクセスルート3631に対応付けて、アクセスルートに含まれる複数のルータ3632を記憶する。そして、各ルータ3632に対応付けて、攻撃内容3633や攻撃回数3634を記憶する。
The
(攻撃対象分析テーブル)
図37は、本実施形態に係る攻撃対象分析テーブル3503aの構成を示す図である。なお、攻撃対象分析テーブル3503aの構成は、図37に限定されない。
(Attack target analysis table)
FIG. 37 is a diagram showing a configuration of the attack target analysis table 3503a according to the present embodiment. Note that the configuration of the attack target analysis table 3503a is not limited to FIG.
攻撃対象分析テーブル3503aは、各攻撃対象3701に対応付けて、複数の攻撃内容3702を記憶する。そして、各攻撃内容3702に対応付けて、攻撃回数3703、攻撃や感染が広がった領域を示す攻撃範囲3704、所定単位期間の攻撃頻度3705を記憶する。
The attack target analysis table 3503a stores a plurality of
そして、クライアント装置やサービス提供サーバへの警告が必要か否かを判定するための警告条件3706と、その警告条件に基づく判定結果である警告要否フラグ3707とを記憶する。なお、警告条件3706は、各攻撃や感染の内容により、あるいはクライアント装置とサービス提供サーバにより、異なってもよい。
And the
《クラウドサーバの処理手順》
図38は、本実施形態に係るクラウドサーバ3420による攻撃対象学習処理の処理手順を示すフローチャートである。なお、図38のフローチャートは、攻撃対象学習処理のみを示し、他のクラウドサーバ3420による通信代行処理については、図11あるいは図25で前出した処理手順を実行する。
《Cloud server processing procedure》
FIG. 38 is a flowchart showing a processing procedure of attack target learning processing by the
まず、ステップS3811においては、感染防止部や攻撃排除部において攻撃や感染が検出されたか否かが判定される。また、ステップS3821においては、クラウドサーバ3420による攻撃対象分析のタイミングであるか否かを判定する。
First, in step S3811, it is determined whether an attack or infection has been detected in the infection prevention unit or the attack exclusion unit. In step S3821, it is determined whether it is the timing of the attack target analysis by the
攻撃や感染があった場合はステップS3813に進んで、攻撃対象情報を取得する。次に、ステップS3815において、攻撃や感染の内容を取得する。そして、ステップS3817において、攻撃対象情報や攻撃内容を攻撃対象学習DB3424に蓄積する。なお、同時に、攻撃対象の学習情報をクライアント装置やサービス提供サーバに報知してもよい。
If there is an attack or infection, the process proceeds to step S3813 to acquire attack target information. Next, in step S3815, the contents of the attack or infection are acquired. In step S3817, attack target information and attack details are stored in the attack
攻撃対象分析のタイミングであればステップS3823に進んで、攻撃対象学習DB3424を検索して攻撃や感染の情報を収集する。次に、ステップS3825において、図37のような攻撃対象分析テーブル3503aを作成する。そして、攻撃対象を予測して(警告要否フラグ3707が要のもの)、警告情報をクライアント装置やサービス提供サーバに報知する。
If it is time to analyze the attack target, the process advances to step S3823 to search the attack
[第9実施形態]
次に、本発明の第9実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第8実施形態と比べると、クライアント装置にプログラムをダウンロードする前に、クラウドサーバで代行実行して攻撃や感染を一定期間チェック(代行実証)し、問題がなければクライアント装置へのダウンロードを許可する点で異なる。その他の構成および動作は、第2乃至第7実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
[Ninth Embodiment]
Next, an information processing system according to the ninth embodiment of the present invention will be described. Compared to the second to eighth embodiments, the information processing system according to the present embodiment performs an attack and infection on a cloud server for a certain period of time before the program is downloaded to the client device (proxy verification). However, it is different in that download to the client device is permitted if there is no problem. Since other configurations and operations are the same as those of the second to seventh embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
本実施形態によれば、情報処理システムにおいて、クライアント装置へのダウンロード前にクラウドサーバによるチェックを十分に行なうので、未然に攻撃や感染の発生を抑えることができる。 According to the present embodiment, in the information processing system, the cloud server sufficiently checks before downloading to the client device, so that it is possible to suppress the occurrence of attacks and infections in advance.
《情報処理システムの動作手順》
図39は、本実施形態に係る情報処理システム3900における通信代行の動作手順を示すシーケンス図である。なお、図39には、本実施形態に関連する動作手順のみを示す。他の動作は、上記第2乃至第8実施形態と同様である
<< Operation procedure of information processing system >>
FIG. 39 is a sequence diagram showing an operation procedure of communication proxy in the
まず、ステップS3901において、クライアント装置211〜216において、クライアントからプログラムにインストールリクエストが入力される。そのプログラムリクエストは、ステップS3903において、クライアント装置からクラウドサーバ3920に通知される。なお、クラウドサーバ3920の代行実証は、クライアント装置のリクエストによる開始でなく、サービス提供サーバからのリクエストで開始されてもよい。
First, in step S3901, in the
クラウドサーバ3920は、ステップS3905において、サービス提供サーバから対象のプログラムを取得する。次に、ステップS3907において、取得したプログラムをインストールプログラムDB3925に格納する。そして、ステップS3909において、プログラムの代行実行処理を開始する。
In step S3905, the
プログラム代行実証処理中に、ステップS3911において、攻撃/感染のチェックを行なう。その結果は、攻撃/感染情報DB223に蓄積される。また、チェック結果の履歴は、ステップS3913において、攻撃対象学習DB3424にも蓄積される。そして、クラウドサーバ3920は、ステップS3915において、対象プログラムのダウンロード許可を判定する。かかる判定は、随時行なわれても、定期的に行なわれても、クライアント装置やサービス提供サーバのリクエスト時に行なわれてもよい。許可されなければ、プログラムの代行実証が続けられる。
During the program proxy verification process, an attack / infection check is performed in step S3911. The result is accumulated in the attack /
ダウンロード許可であれば、ステップS3917において、クライアント装置にクライアントに対するダウンロード許可の通知を送信する。クライアント装置では、ステップS3919において、対象プログラムをダウンロードする。そして、ステップS3921において、ダウンロードしたプログラムを実行することになる。 If it is download permission, in step S3917, a notification of download permission to the client is transmitted to the client device. In the client device, the target program is downloaded in step S3919. In step S3921, the downloaded program is executed.
《クラウドサーバの機能構成》
図40は、本実施形態に係るクラウドサーバ3920の機能構成を示すブロック図である。なお、図40において、第2実施形態の図5、および第8実施形態の図35と同様の機能構成部には同じ番号を付して、説明を省略する。
<Functional configuration of cloud server>
FIG. 40 is a block diagram showing a functional configuration of the
インストールプログラムDB3925は、各クライアントが自分のクライアント装置にダウンロードすることをリクエストしたプログラムや、新たにサービス提供サーバ230〜250から提供されたプログラムを蓄積して管理する。なお、プログラムは、WEBアプリケーションへのプラグインなども含むものである。
The
仮想PC4003は、プログラムのダウンロードをリクエストしたクライアント装置に対応する仮想PCである。仮想PC4003は、ダウンロード許可テーブル4003aを有し、各プログラムがダウンロード可能か否かを管理している。なお、この管理は、インストールプログラムDB3925において、共通に実施されてもよい。仮想PC4003は、インストールプログラムDB3925からプログラムを読み出して実行し、その実行過程における攻撃や感染をチェックし、攻撃対象学習DB3424に履歴を格納する。同時に、インストールプログラムDB3925にも、各プログラムに対応付けて結果を記録する。それらのチェック履歴に基づいて、ダウンロード許可テーブル4003aの各プログラムに許可か否かを記憶する。
The
プログラムダウンロード部4004は、ダウンロード許可テーブル4003aにおいて許可が示されているプログラムをインストールプログラムDB3925から読み出して、クライアント装置にダウンロードする。
The
[他の実施形態]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得るさまざまな変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。例えば、第2実施形態の構成と第5実施形態の構成とを組み合わせて、Webサービスは第5実施形態の変換で行ない、その他のメールなどは第2実施形態の変換で行なってもよい。すなわち、クライアント装置によって全通信をクラウドサーバに代行させるか、Webサービスのみをクラウドサーバに代行させるかを選択可能にしてもよい。
[Other Embodiments]
Although the present invention has been described with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. In addition, a system or an apparatus in which different features included in each embodiment are combined in any way is also included in the scope of the present invention. For example, by combining the configuration of the second embodiment and the configuration of the fifth embodiment, the Web service may be performed by the conversion of the fifth embodiment, and other mails may be performed by the conversion of the second embodiment. That is, the client device may be able to select whether all communication is delegated to the cloud server or only the Web service is delegated to the cloud server.
また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、あるいはその制御プログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。 In addition, the present invention may be applied to a system composed of a plurality of devices, or may be applied to a single device. Furthermore, the present invention can also be applied to a case where a control program that realizes the functions of the embodiments is supplied directly or remotely to a system or apparatus. Therefore, in order to realize the functions of the present invention with a computer, a control program installed in the computer, a medium storing the control program, and a WWW (World Wide Web) server for downloading the control program are also included in the scope of the present invention. include.
Claims (17)
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする情報処理システム。 The first information processing apparatus is connected to the first information processing apparatus via a network and has substantially the same or higher defense capability against an attack than the first information processing apparatus. An information processing system including a second information processing apparatus,
Communication proxy means of the second information processing device acting as a proxy for at least part of the communication connection between the first information processing device and an external network or external device;
Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus;
Equipped with a,
The communication proxy means is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking unit detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy unit is deleted, a new virtual computer is generated, and the communication is performed. information processing system communicating substitution control means for substituting the communication connection of the first information processing apparatus, characterized by comprising Rukoto by proxy means.
前記通信代行手段は、前記攻撃排除手段により攻撃が排除された通信データを、前記第1情報処理装置に転送する第1通信データ転送手段を有することを特徴とする請求項1に記載の情報処理システム。 The attack blocking means further includes attack elimination means for detecting and eliminating an attack included in communication data output from the external network or the external device,
2. The information processing according to claim 1, wherein the communication proxy means includes first communication data transfer means for transferring communication data from which an attack has been eliminated by the attack elimination means to the first information processing apparatus. system.
前記通信代行手段は、前記感染防止手段により感染防止された通信データを、前記外部ネットワークあるいは前記外部装置に転送する第2通信データ転送手段を有することを特徴とする請求項1または2に記載の情報処理システム。 The attack blocking means further includes infection prevention means for preventing infection based on communication data output from the first information processing apparatus,
3. The communication agent means according to claim 1, further comprising: a second communication data transfer means for transferring the communication data that has been prevented from being infected by the infection prevention means to the external network or the external device. Information processing system.
前記通信代行手段は、前記Webブラウザが展開した展開データを前記複数の第1情報処理装置に転送することを特徴とする請求項5または6に記載の情報処理システム。 A plurality of the first information processing devices are communicatively connected to the second information processing device;
The information processing system according to claim 5 or 6, wherein the communication proxy means transfers the expanded data expanded by the Web browser to the plurality of first information processing apparatuses.
前記攻撃遮断手段が前記所定期間に亙って攻撃を検出しない場合に、前記アプリケーションの前記第1情報処理装置へのインストールを許可する許可手段と、
をさらに備えることを特徴とする請求項1に記載の情報処理システム。 The attack blocking means detects an attack related to a new application installed in the virtual computer over a predetermined period,
Permission means for permitting installation of the application on the first information processing apparatus when the attack blocking means does not detect an attack over the predetermined period;
The information processing system according to claim 1 , further comprising:
前記第1情報処理装置はクライアント装置であり、前記第2情報処理装置はサーバであることを特徴とする請求項1乃至8のいずれか1項に記載の情報処理システム。 The information processing system is a thin client server system,
The information processing system according to any one of claims 1 to 8 , wherein the first information processing apparatus is a client apparatus, and the second information processing apparatus is a server.
前記攻撃遮断手段が検出した攻撃を前記攻撃が対象とする攻撃対象と対応付けて蓄積する攻撃対象学習手段と、
前記攻撃対象学習手段に蓄積された攻撃対象に関する情報を前記第1情報処理装置または前記外部装置に通知する攻撃警告手段と、
をさらに備えることを特徴とする請求項9に記載の情報処理システム。 The second information processing apparatus
Attack target learning means for storing the attack detected by the attack blocking means in association with the attack target targeted by the attack;
Attack warning means for notifying the first information processing apparatus or the external apparatus of information related to the attack target accumulated in the attack target learning means;
The information processing system according to claim 9 , further comprising:
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする情報処理方法。 A first information processing apparatus are communicatively connected via a network with respect to the first information processing apparatus to have a substantially equal or higher protective capacity against challenge compared to the first information processing apparatus an information processing method in an information processing system and a second information processing apparatus,
A communication proxy step of the second information processing device that performs at least a part of communication connection between the first information processing device and an external network or an external device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
Only including,
The communication agent step is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking step detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy step is deleted, a new virtual computer is generated, and the communication is performed. the communication proxy control step of substituting the communication connection of the first information processing apparatus by proxy step, an information processing method comprising including Mukoto.
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする第2情報処理装置。 Communicatively coupled via the first information processing device and the network, a second information processing apparatus having a substantially equal or higher protective capacity against challenge compared to the first information processing apparatus,
Communication proxy means for proxying at least a part of communication connection with the external network or the external device by the first information processing device;
Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus;
Equipped with a,
The communication proxy means is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking unit detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy unit is deleted, a new virtual computer is generated, and the communication is performed. communication substitution control means for substituting the communication connection of the first information processing apparatus by substituting means, the second information processing apparatus, characterized in comprising Rukoto.
前記第1の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする第2情報処理装置の制御方法。 Communicatively coupled via the first information processing device and the network, a control method of the second information processing apparatus having a substantially equal or higher protective capacity against challenge compared to the first information processing apparatus ,
A communication proxy step of acting as a proxy for at least part of the communication connection with the external network or the external device by the first information processing device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
Only including,
The communication agent step is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking step detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy step is deleted, a new virtual computer is generated, and the communication is performed. the communication proxy control step of substituting the communication connection of the first information processing apparatus by proxy step, the control method of the second information processing apparatus, characterized in including Mukoto.
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
をコンピュータに実行させ、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする第2情報処理装置の制御プログラム。 A control program for a second information processing apparatus that is communicably connected to the first information processing apparatus via a network and has substantially the same or higher defense capability against attack than the first information processing apparatus,
A communication proxy step of performing at least a part of communication connection with the external network or the external device by the first information processing device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
To the computer ,
The communication agent step is included in a virtual computer generated by the second information processing apparatus and associated with the first information processing apparatus,
When the attack blocking step detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy step is deleted, a new virtual computer is generated, and the communication is performed. A control program for a second information processing apparatus , comprising: a communication proxy control step for proxying communication connection of the first information processing apparatus by a proxy step .
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼手段と、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信手段と、
を備えることを特徴とする第1情報処理装置。 Communicatively connected via a second information processing apparatus and the network of claim 12, the first information processing apparatus having a substantially equal or lower protective capacity against challenge compared to the second information processing apparatus Because
A communication proxy request means for requesting to intercept at least a portion of the communication connection with the external network or an external device by the communication proxy unit the second information processing apparatus is the first information processing apparatus,
Communication data attacked by the attack blocking means is blocked by the second information processing apparatus, receiving means for receiving,
A first information processing apparatus comprising:
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
を含むことを特徴とする第1情報処理装置の制御方法。 Communicatively connected via a second information processing apparatus and the network of claim 12, the first information processing apparatus having a substantially equal or lower protective capacity against challenge compared to the second information processing apparatus Control method,
A communication proxy request step for requesting to intercept at least a portion of the communication connection with the external network or an external device by the communication proxy unit the second information processing apparatus is the first information processing apparatus,
Communication data attacked by the attack blocking means is blocked with said second information processing apparatus, a receiving step of receiving,
The control method of the 1st information processing apparatus characterized by including.
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
をコンピュータに実行させることを特徴とする第1情報処理装置の制御プログラム。 Communicatively connected via a second information processing device and the network of claim 12, the first information processing apparatus having a substantially equal or lower protective capacity against challenge compared to the second information processing apparatus Control program
A communication proxy request step for requesting to intercept at least a portion of the communication connection with the external network or an external device by the communication proxy unit the second information processing apparatus is the first information processing apparatus,
Communication data attacked by the attack blocking means is blocked with said second information processing apparatus, a receiving step of receiving,
A program for controlling the first information processing apparatus, which causes a computer to execute.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012068501A JP5880195B2 (en) | 2012-03-24 | 2012-03-24 | Information processing system, information processing method, information processing apparatus, control method thereof, and control program |
| PCT/JP2013/057635 WO2013146411A1 (en) | 2012-03-24 | 2013-03-18 | Information processing system, information processing method, information processing device, and control method and control program therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012068501A JP5880195B2 (en) | 2012-03-24 | 2012-03-24 | Information processing system, information processing method, information processing apparatus, control method thereof, and control program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013201589A JP2013201589A (en) | 2013-10-03 |
| JP5880195B2 true JP5880195B2 (en) | 2016-03-08 |
Family
ID=49259672
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012068501A Expired - Fee Related JP5880195B2 (en) | 2012-03-24 | 2012-03-24 | Information processing system, information processing method, information processing apparatus, control method thereof, and control program |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5880195B2 (en) |
| WO (1) | WO2013146411A1 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015090656A (en) * | 2013-11-07 | 2015-05-11 | 株式会社三菱東京Ufj銀行 | Internet banking system and relay device for illegal access interruption |
| US10021072B2 (en) | 2015-08-20 | 2018-07-10 | Mitsubishi Hitachi Power Systems, Ltd. | Security system and communication control method |
| JP6623656B2 (en) * | 2015-10-02 | 2019-12-25 | 富士通株式会社 | Communication control device, communication control method, and communication control program |
| GB201522315D0 (en) | 2015-12-17 | 2016-02-03 | Irdeto Bv | Securing webpages, webapps and applications |
| JP6205013B1 (en) * | 2016-05-30 | 2017-09-27 | ジェイズ・コミュニケーション株式会社 | Application usage system |
| JP7118044B2 (en) * | 2019-12-26 | 2022-08-15 | 株式会社三菱Ufj銀行 | INTERNET SYSTEM AND METHODS THAT THE INTERNET SYSTEM PERFORMS |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004078352A (en) * | 2002-08-12 | 2004-03-11 | Fujitsu Ltd | Proxy web server for web page display screen sharing system, web page display screen sharing system, and proxy web server program for web page display screen sharing system |
| JP4012179B2 (en) * | 2004-08-03 | 2007-11-21 | 株式会社東芝 | Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense target terminal, defense target program, and protection target method |
| US7730536B2 (en) * | 2005-06-08 | 2010-06-01 | Verizon Business Global Llc | Security perimeters |
| JP5141328B2 (en) * | 2008-03-25 | 2013-02-13 | 富士通株式会社 | Relay device and computer program |
| JP2009290469A (en) * | 2008-05-28 | 2009-12-10 | Hideaki Watanabe | Network communication system |
| JP2011008730A (en) * | 2009-06-29 | 2011-01-13 | Lac Co Ltd | Computer system, computer device, file opening method, and program |
| JP4879364B2 (en) * | 2011-06-27 | 2012-02-22 | キヤノンItソリューションズ株式会社 | Information processing apparatus, information processing method, and computer program |
-
2012
- 2012-03-24 JP JP2012068501A patent/JP5880195B2/en not_active Expired - Fee Related
-
2013
- 2013-03-18 WO PCT/JP2013/057635 patent/WO2013146411A1/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013146411A1 (en) | 2013-10-03 |
| JP2013201589A (en) | 2013-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| JP5880195B2 (en) | Information processing system, information processing method, information processing apparatus, control method thereof, and control program | |
| US9769126B2 (en) | Secure personal server system and method | |
| EP3507964B1 (en) | Malware detection for proxy server networks | |
| US9888016B1 (en) | System and method for detecting phishing using password prediction | |
| US9576064B2 (en) | Third party program integrity and integration control in web-based applications | |
| US20160226916A1 (en) | Creating and managing a network security tag | |
| US20150288709A1 (en) | Using Trust Profiles for Network Breach Detection | |
| CN103875222A (en) | System and method for real-time customized threat protection | |
| EP2863611A1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| JP2009181335A (en) | Analysis system, analysis method and analysis program | |
| US20230101145A1 (en) | Computer Network Security | |
| EP3472991A1 (en) | Secure personal server system and method | |
| JP2016139935A (en) | Information processing apparatus, information processing method, and program | |
| JP2011154727A (en) | Analysis system, analysis method, and analysis program | |
| US20180097832A1 (en) | Protection from Malicious and/or Harmful Content in Cloud-Based Service Scenarios | |
| Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
| US20220337488A1 (en) | Network device type classification | |
| US12047410B2 (en) | Systems and methods for avoiding offloading traffic flows associated with malicious data | |
| CN114285588A (en) | Method, device, equipment and storage medium for acquiring attack object information | |
| CN107241297B (en) | Communication interception method and device, server | |
| JP2019152912A (en) | Unauthorized communication handling system and method | |
| RU2706894C1 (en) | System and method of analyzing content of encrypted network traffic | |
| CA3131921C (en) | Network traffic analysis | |
| GB2506605A (en) | Identifying computer file based security threats by analysis of communication requests from files to recognise requests sent to untrustworthy domains |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151013 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160118 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5880195 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |